ESET NOD32 sérülékenység

CH azonosító

CH-12360

Angol cím

ESET NOD32 vulnerability

Felfedezés dátuma

2015.06.22.

Súlyosság

Magas

Érintett rendszerek

ESET
NOD32

Érintett verziók

Minden verziót és platformot érint a sérülékenység (az alapértelmezett konfigurációk is érintettek), többek között:
- ESET Smart Security, Windows
- ESET NOD32 Antivirus, Windows
- ESET Cyber Security Pro, OS X
- ESET NOD32, Linux Desktop
- ESET Endpoint Security, Windows és OS X
- ESET NOD32 Business Edition

Összefoglaló

Az ESET szoftverét futtató bármilyen rendszer sérülékennyé válhat. A komprimittált gépek jogosultságtól függetlenül betekintést engednek a fájlokba, engedélyezik azok módosítását, törlését minden rendszeren. (A kihasználáshoz system vagy root jogosultság szükséges, de egy sikeres behatolás után ezek már nem korlátozzák a támadót.) Engedélyezik programok, rootkitek telepítését, hozzáférést adnak a rendszer hardware-eihez (kamera, mikrofon, billentyűleütések), láthatóvá teszik a hálózati forgalmat.

Leírás

Az antivírus szoftver emulációs képességekkel rendelkezik, hogy hatékonyabban vizsgálhassa az aktív folyamatokat. A NOD32 a minifilter-t vagy a kext-et használja, hogy megszakítsa a lemezen végzett input/output (I/O – I/O folyamatot létrehozhat webböngésző, fájlmegosztás, email, hálózati tárhely, USB meghajtó, üzenetküldő használata) műveleteket, majd elemzi a folyamatot és ha futtatható kódot észlel átadja az emuláló környezetnek további vizsgálatra. Fontos, hogy az emuláció biztonságos, robosztus és elkülönített legyen (könnyű nem megbízható kód emulációját előidézni, mivel ha üzenetet, fájlt, képet vagy bármely más adatot fogad a rendszer, azt valószínűleg nem megbízhatónak ítéli majd a szoftver).
A rendszert ért támadásnak vagy a már komprimittált gépnek nincs semmilyen jelzője, mivel az I/O műveletek normális részei az operációs rendszernek).

Különböző rendszereken különbözőképpen vehetik át az irányítást:

  • Windows: ha NT AUTHORITYSYSTEM jogosultsággal rendelkezik a scan folyamat, egy távoli támadó kompromittálhatja az ekrn.exe folyamatot.
  • Linux: ha root jogosultsággal rendelkezik a scan process, egy távoli támadó átveheti az esets_daemon folyamat irányítását.

Kihasználás email csatolmányokkal:

A kihasználásra összeállított kódot MIME csatolmányként elküldve egy Mail.app, Outlook, stb. szoftvert használó felhasználónak interakció nélkül sebezhetővé teszi az érintett rendszert. (Új email-ek lekérése a mailserverről elegendő ahhoz, hogy a NOD32 megszakítsa a folyamatot és ellenőzést végezzen. Nem szükséges a csatolmány megnyitása.)

Kihasználás webböngészőn keresztül:

A bármilyen weboldalra feltöltött káros tartalom, amely tartalmazza a kihasználáshoz szükséges kódot (kép, HTML5 cache vagy egyszerű text/html fájl), az ESET szoftverének beavatkozását idézi elő.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Az ESET által készített javítás : http://www.virusradar.com/en/update/info/11824