Mac-AV-Software ermöglichte Einschleusen von Schadcode
Eine unzureichende Absicherung bei der Lizenzprüfung von Eset Endpoint Antivirus für macOS ermöglichte es einem Angreifer, beliebigen Code mit Root-Rechten auszuführen. Die als kritisch eingestufte Sicherheitslücke wurde inzwischen behoben.
(Bild: Webseite des Herstellers)
- Leo Becker
Zwei Google-Sicherheitsforscher haben kritische Schwachstellen in der für Mac-Nutzer gedachten Version von Esets Antiviren-Software gefunden: Ein Angreifer ist dadurch in der Lage, beliebigen Code auf dem Mac des Nutzers einzuschleusen und mit Root-Rechten auszuführen.
Um die Lizenz zu aktivieren, baut die Mac-Antiviren-Software eine Verbindung zum Server des Herstellers auf. Dabei wird jedoch das Zertifikat des Webservers nicht validiert, erklären die Sicherheitsforscher auf der Mailingliste Full Disclosure: Ein 'Man-in-the-Middle' kann die Anfrage deshalb mit einem selbstsignierten HTTPS-Zertifikat beantworten.
Hinzu kommt, dass der mit Root-Rechten laufende Prüfprozess der Antivirensoftware die Erwiderung des Servers als XML-Dokument parst, dafür allerdings auf eine veraltete Version der Poco-XML-Bibliothek setzt, die eine gravierende Schwachstelle aufweist. Dies ermöglicht dem Angreifer, durch eine manipulierte Antwort Schadcode auszuführen.
Schwachstelle Ende des vergangenen Jahres an Hersteller gemeldet – nun gefixt
Die Sicherheitsforscher des Google Security Team haben einen Proof of Concept veröffentlicht. Die als kritisch eingestufte Sicherheitslücke wurde schon im vergangenen November an den Hersteller gemeldet – und wenige Tage vor der Veröffentlichung der Details inzwischen geschlossen. In Version 6.4.168.0 von Eset Endpoint Antivirus für macOS soll die Schwachstelle nicht mehr bestehen.
(lbe)
