Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Antywirus ESET NOD32- krytyczna podatność: remote admin – aktualizujcie ASAP

24 czerwca 2015, 13:42 | Aktualności | komentarzy 28

eset3W niedawnym poście, Tavis Ormandy opisał błąd (i exploita…) na różne warianty pakietów antywirusowych oferowanych przez ESET (NOD32, Smart Security, …) .

Zanim przeczytasz dalej rekomenduję od razu zaktualizować silnik antywirusa (jeśli używasz produktów ESET – np. popularnego NOD32). Poprawka wyszła 2 dni temu (22.06.2015).

Osobom zainteresowanych tematem polecam od razu klimatyczną prezentację: Breaking Antivirus Software (o atakach na AV).

TL;DR

Na filmie linkowanym dalej widać, że wystarczy wejść na jednego linka (stronę www) – mamy zdalne wykonanie kodu na naszym systemie (widać odpalający się kalkulator).

Co więcej, złośliwy kod odpala się z wysokimi uprawnieniami (takimi jak antywirus…).

 

Jakie produkty są podatne ?

– ESET Smart Security for Windows
– ESET NOD32 Antivirus for Windows
– ESET Cyber Security Pro for OS X
– ESET NOD32 For Linux Desktop
– ESET Endpoint Security for Windows and OS X
– ESET NOD32 Business Edition

 

Czy podatność jest załatana?
Tak – patch został wypuszczony 22 czerwca 2015

 

Czy dostępny jest exploit? 
TAK!

 

Szczegóły techniczne
Sygnatury wirusów w ESET mają postać kodu wykonywalnego i są ładowane przez antywirusa jako moduły w trakcie wykonywania. Jedna z takich sygnatur wykrywa operacje na stosie wykonywane przez podejrzany kod i próbuje je wykonywać na swoim własnym stosie, zwanym przez Tavisa „shadow stack” – prawdopodobnie ma to na celu wykrycie pewnych metod obfuskacji. Kod oczywiście ma zabezpieczenia sprawdzające czy kod próbuje wyjść poza „shadow stack”, są one jednak nieskuteczne, bowiem można je obejść wykonując operacje arytmetyczne bezpośrednio na rejestrze ESP, dzięki temu uzyskując możliwość zapisu dowolnych danych w pamięci programu. O tym jak to dalej wykorzystać w celu uzyskania działającego exploita, Tavis szczegółowo pisze w poście na blogu w sekcji „Building Exploit Primitives”.
–ms & mb

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. V

    Która wersja ESS jest najnowsza i zarazem pozbawiona tego exploita? 8.0.312.4?

    Odpowiedz
  2. Dawid

    Ładne kwiatki. Antywirus, który otwiera w systemie dziurę :)

    Odpowiedz
  3. Łukasz Kozak

    Dział Pomocy Technicznej ESET
    tel. 32 793 11 88
    tel. 32 259 11 88
    pomoc@eset.pl

    Twierdzą, że nic takiego nie mia miejsca i oni nic o tym nie wiedzą :D

    Odpowiedz
  4. Skynet

    Podatność dotyczy jakiejs konkretnej wersji eseta?

    Odpowiedz
    • Przed 22.06 na pewno dużo będzie podatnych. Sprawdzamy jeszcze wersje.

      Odpowiedz
  5. 0xdeadbeef

    Opisywany błąd dotyczy maca, sploit na windowsie będzie trudniejszy, bo tam jest aktywny dep+aslr

    Odpowiedz
    • Błąd dotyczy wszystkich platform (This includes, but is not limited to, these products:
      – ESET Smart Security for Windows), a PoC został przygotowany na MAC-a (najprawdopodobniej z tego powodu o którym piszesz).

      I dalej:

      „These scenarios are possible because of how privileged the scan process is. For Windows networks, it is possible to compromise and take over the ekrn.exe process, granting NT AUTHORITY\SYSTEM to remote attackers. On Mac and Linux, it is possible to compromise and take over the esets_daemon process, granting root access to attackers.”

      Odpowiedz
  6. dexter86

    Wystarczy automatyczna aktualizacja sygnatur, czy trzeba zaktualizować cały program?

    Odpowiedz
    • Program („aktualizacja produktu”).

      Odpowiedz
  7. józek

    Ktoś w ogóle używa tego NOD32? Przecież to chłam, zabugowany (od czasów Win98 to jest jedyna aplikacja, po której odinstalowaniu musiałem zrobić format Win7 bo proces odinstalowania mi rozwalił system i SKASOWAŁ punkty przywracania systemu zamiast je utworzyć), powolny, słaby skaner, zapycha system. Chyba jedynym plusem tego badziewia jest to, że można go mieć za darmo. Ciekawe czy jakby prostytutki były za darmo (dofinansowane przez Unię czy coś), to ludzie też by je brali? Tutaj chyba najodpowiedniejszy komentarz umieściłby Avast! „Baza wirusów została zaktualizowana!”.

    Odpowiedz
    • hallo.kitty

      Jakże wyczerpująca opinia komputerowego noskilla, który po odinstalowaniu antywirusa musi robić format…

      Odpowiedz
      • józek

        Hahaha ;D
        Szanuj swój czas, naprawa krytycznie uszkodzonego Windowsa przez badziewnego antywirusa – 3 godziny, format – 10 minut.

        Odpowiedz
        • Ninja

          Z tym że podczas zabawy w naprawianie komputera czegoś się nauczysz, a przy formacie idziesz na skróty i nie rozwiązujesz żadnego problemu, tylko tworzysz nowy magazyn na nowy system. Skoro jesteś leniem, co tutaj robisz?

          PS Naprawdę nie dziwię się, że zrobiłeś formata, skoro instalacja NOD32 „krytycznie popsuła” ci system. Aż strach pomyśleć co by się stało, gdybyś miał włączyć Sapera.

          Odpowiedz
  8. pinokio

    Brak antywirusa = brak problemu :P.

    Odpowiedz
  9. John

    Przezytaliście w ogóle nagłówek bloga?

    Do we understand the risk vs. benefit trade-offs of security software?
    Tavis Ormandy, June 2015

    Odpowiedz
  10. Tomek
    Odpowiedz
    • Tomek – thx, a masz może gdzieś info od dokładnie której wersji jest update? (bo tam tego nie widać – też jest tylko info o dacie :/)

      Odpowiedz
      • Tomek

        Niestety, nie posiadam takiej informacji, jedynie to, ze update #11824 wyszedl 22.06 o 13:10 i on fixuje ta podatnosc.

        Odpowiedz
        • Czyli update sygnatur od razu fixuje?

          Odpowiedz
          • Tomek

            Update aktualizuje bazy sygnatur oraz moduly. Ich wersje i daty mozna podejrzec z menu/About. Swoja droga, podatnosc nie wystepowala na maszynach korzystajacych z kanalu pre-release (nowy/przepisany/poprawiony kod), wiec moze warto przelaczyc sie na wersje deweloperska?

          • OK, thx.
            Z tą wersją devel pewnie wiesz jak jest ;) Mogą być znienacka inne kwasy, to chyba dla fascynatów (dla nas :P) tylko – nie dla mainstreamu?

  11. Skynet

    Uzyskałem informację z pomoc@eset.pl że wystarczy aktualizacja sygnatur.
    Nie trzeba aktualizować programu.

    Odpowiedz
  12. Niestety co jakiś czas zdarzają się takie wpadki. Pozostaje ustawić w harmonogramie wyższą częstotliwość sprawdzania aktualizacji bazy sygnatur.

    Odpowiedz

Odpowiedz