Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Antywirus ESET NOD32- krytyczna podatność: remote admin – aktualizujcie ASAP
W niedawnym poście, Tavis Ormandy opisał błąd (i exploita…) na różne warianty pakietów antywirusowych oferowanych przez ESET (NOD32, Smart Security, …) .
Zanim przeczytasz dalej rekomenduję od razu zaktualizować silnik antywirusa (jeśli używasz produktów ESET – np. popularnego NOD32). Poprawka wyszła 2 dni temu (22.06.2015).
Osobom zainteresowanych tematem polecam od razu klimatyczną prezentację: Breaking Antivirus Software (o atakach na AV).
TL;DR
Na filmie linkowanym dalej widać, że wystarczy wejść na jednego linka (stronę www) – mamy zdalne wykonanie kodu na naszym systemie (widać odpalający się kalkulator).
Co więcej, złośliwy kod odpala się z wysokimi uprawnieniami (takimi jak antywirus…).
Jakie produkty są podatne ?
– ESET Smart Security for Windows
– ESET NOD32 Antivirus for Windows
– ESET Cyber Security Pro for OS X
– ESET NOD32 For Linux Desktop
– ESET Endpoint Security for Windows and OS X
– ESET NOD32 Business Edition
Czy podatność jest załatana?
Tak – patch został wypuszczony 22 czerwca 2015
Czy dostępny jest exploit?
TAK!
Szczegóły techniczne
Sygnatury wirusów w ESET mają postać kodu wykonywalnego i są ładowane przez antywirusa jako moduły w trakcie wykonywania. Jedna z takich sygnatur wykrywa operacje na stosie wykonywane przez podejrzany kod i próbuje je wykonywać na swoim własnym stosie, zwanym przez Tavisa „shadow stack” – prawdopodobnie ma to na celu wykrycie pewnych metod obfuskacji. Kod oczywiście ma zabezpieczenia sprawdzające czy kod próbuje wyjść poza „shadow stack”, są one jednak nieskuteczne, bowiem można je obejść wykonując operacje arytmetyczne bezpośrednio na rejestrze ESP, dzięki temu uzyskując możliwość zapisu dowolnych danych w pamięci programu. O tym jak to dalej wykorzystać w celu uzyskania działającego exploita, Tavis szczegółowo pisze w poście na blogu w sekcji „Building Exploit Primitives”.
–ms & mb
Która wersja ESS jest najnowsza i zarazem pozbawiona tego exploita? 8.0.312.4?
Po 22.06 jest OK
Info o update: http://www.virusradar.com/en/update/info/11824
Czyli wychodzi na to, że wystarczy sygnatury wirusów zaktualizować minimum do wersji 11824, co robi się i tak automatycznie kilka razy dziennie?
Ładne kwiatki. Antywirus, który otwiera w systemie dziurę :)
Dział Pomocy Technicznej ESET
tel. 32 793 11 88
tel. 32 259 11 88
pomoc@eset.pl
Twierdzą, że nic takiego nie mia miejsca i oni nic o tym nie wiedzą :D
Zapytaj ich o to: http://www.virusradar.com/en/update/info/11824
;-)
Podatność dotyczy jakiejs konkretnej wersji eseta?
Przed 22.06 na pewno dużo będzie podatnych. Sprawdzamy jeszcze wersje.
Opisywany błąd dotyczy maca, sploit na windowsie będzie trudniejszy, bo tam jest aktywny dep+aslr
Błąd dotyczy wszystkich platform (This includes, but is not limited to, these products:
– ESET Smart Security for Windows), a PoC został przygotowany na MAC-a (najprawdopodobniej z tego powodu o którym piszesz).
I dalej:
„These scenarios are possible because of how privileged the scan process is. For Windows networks, it is possible to compromise and take over the ekrn.exe process, granting NT AUTHORITY\SYSTEM to remote attackers. On Mac and Linux, it is possible to compromise and take over the esets_daemon process, granting root access to attackers.”
Wystarczy automatyczna aktualizacja sygnatur, czy trzeba zaktualizować cały program?
Program („aktualizacja produktu”).
Ktoś w ogóle używa tego NOD32? Przecież to chłam, zabugowany (od czasów Win98 to jest jedyna aplikacja, po której odinstalowaniu musiałem zrobić format Win7 bo proces odinstalowania mi rozwalił system i SKASOWAŁ punkty przywracania systemu zamiast je utworzyć), powolny, słaby skaner, zapycha system. Chyba jedynym plusem tego badziewia jest to, że można go mieć za darmo. Ciekawe czy jakby prostytutki były za darmo (dofinansowane przez Unię czy coś), to ludzie też by je brali? Tutaj chyba najodpowiedniejszy komentarz umieściłby Avast! „Baza wirusów została zaktualizowana!”.
Jakże wyczerpująca opinia komputerowego noskilla, który po odinstalowaniu antywirusa musi robić format…
Hahaha ;D
Szanuj swój czas, naprawa krytycznie uszkodzonego Windowsa przez badziewnego antywirusa – 3 godziny, format – 10 minut.
Z tym że podczas zabawy w naprawianie komputera czegoś się nauczysz, a przy formacie idziesz na skróty i nie rozwiązujesz żadnego problemu, tylko tworzysz nowy magazyn na nowy system. Skoro jesteś leniem, co tutaj robisz?
PS Naprawdę nie dziwię się, że zrobiłeś formata, skoro instalacja NOD32 „krytycznie popsuła” ci system. Aż strach pomyśleć co by się stało, gdybyś miał włączyć Sapera.
Brak antywirusa = brak problemu :P.
Przezytaliście w ogóle nagłówek bloga?
Do we understand the risk vs. benefit trade-offs of security software?
Tavis Ormandy, June 2015
Oficjalne oswiadczenie:
http://www.eset.com/int/about/press/eset-blog/article/eset-vulnerability-fixed/
Tomek – thx, a masz może gdzieś info od dokładnie której wersji jest update? (bo tam tego nie widać – też jest tylko info o dacie :/)
Niestety, nie posiadam takiej informacji, jedynie to, ze update #11824 wyszedl 22.06 o 13:10 i on fixuje ta podatnosc.
Czyli update sygnatur od razu fixuje?
Update aktualizuje bazy sygnatur oraz moduly. Ich wersje i daty mozna podejrzec z menu/About. Swoja droga, podatnosc nie wystepowala na maszynach korzystajacych z kanalu pre-release (nowy/przepisany/poprawiony kod), wiec moze warto przelaczyc sie na wersje deweloperska?
OK, thx.
Z tą wersją devel pewnie wiesz jak jest ;) Mogą być znienacka inne kwasy, to chyba dla fascynatów (dla nas :P) tylko – nie dla mainstreamu?
Uzyskałem informację z pomoc@eset.pl że wystarczy aktualizacja sygnatur.
Nie trzeba aktualizować programu.
OK, thx.
Niestety co jakiś czas zdarzają się takie wpadki. Pozostaje ustawić w harmonogramie wyższą częstotliwość sprawdzania aktualizacji bazy sygnatur.