ESET antivirus veroorzaakte beveiligings­probleem Mac

Door: Raymon Mens - 14 reacties

Het is een beetje ironisch. De antivirus-software van ESET veroorzaakte een beveiligings­probleem in macOS. Door een fout in de software kon een onbevoegde gebruiker op afstand commando’s met het hoogte privilegeniveau uitvoeren.

Dat hebben onderzoekers van project zero ontdekt. Bij het checken van de software-licentie werd een oud component (een XML-parser) gebruikt dat kwetsbaar is voor zogenaamde man-in-the-middle-aanvallen.

Root mag alles

Bij het ophalen van een nieuw licentiebestand, werd niet gecontroleerd of het bestand ook echt van ESET afkomstig was. Een kwaadwillende kon zo op bijvoorbeeld een publiek Wi-Fi-netwerk zich voordoen als ESET-server en een licentiebestand met daarin kwaadaardige code sturen. Deze werd vervolgens door de antivirus-software uitgevoerd.

Omdat antivirussoftware alle hoekjes van het systeem moet kunnen benaderen en scannen, wordt deze als root uitgevoerd. Dit is de gebruiker die op een Mac alles kan en mag. Het proces dat de licentie bij de servers van ESET checkt, werd als root uitgevoerd en gaf kwaadwillenden vrij spel.

01-endpoint-antivirus-mac-protection-status
Maximum protection? Not so much…

De kwetsbaarheid was in ESET endpoint antivirus voor macOS aanwezig. Dit is de business-versie die zich richt op (klein)zakelijk gebruik. De oorzaak was een open source XML-parser die ESET bundelde om het certificaat te checken. Deze was sinds 2013 niet meer herzien en kwetsbaar. In de versie 6.4.168.0 van het programma is een nieuwe versie van de parser opgenomen. Deze was overigens al jaren beschikbaar, maar ESET checkt de open source componenten die het bundelt blijkbaar niet op updates. Iets dat je van een vooraanstaand leverancier van antivirus wel mag verwachten.

Reacties

14 reacties
  • Profielfoto
    Lucas Raggers

    Wat mij betreft komt Apple met OS 11 waarin alles à la iOS is dichtgetimmerd.

  • Profielfoto
    iMac Lover

    Bij het checken van de software-licentie werd een oud component (een XML-parser) gebruikt die kwetsbaar is voor zogenaamde man-in-the-middle-aanvallen.

    Slordig, dat men dit soort sleutels niet beter checkt. Het lijkt wel op de Nederlandse overheid, die jaren geleden problemen hadden met de website mijnoverheid.nl met hun DigiD.

    Ik ben jaren lang een tevreden gebruiker geweest van ESET antivirus onder Windows. Tegenwoordig het ik F-secure van KPN op mijn Mac Mini.

  • Profielfoto
    iMac Lover

    @Lucas Raggers, het gaat niet over iOS maar over MacOs.;-)

  • Profielfoto
    Caszz

    Heb nog nooit een antivirus programma gebruikt op m’n mac. Nooit ergens last van gehad.

  • Profielfoto
    Caszz

    Nog nooit een virusscanner gebruikt op mijn mac. Nooit problemen gehad.

  • Profielfoto
    Caszz

    Hier nog wel telkens een foutmelding ?

  • Profielfoto
    Caszz

    Hier meer problemen. Foutmelding foutmelding foutmelding

  • Profielfoto
    Shmoo

    Zolang de Mac App Store nog 98% rommel en onzin (reclame) developers bevat laten we macOS maar gewoon beperkt open zoals het nu is.

    Werkt prima op deze manier en waarom zouden wij onze vrijheid moeten inleveren terwijl bepaalde mensen die het toch nooit zullen begrijpen -of verkeerde (helemaal geen) voorlichting hebben gekregen dit soort software installeren.
    Als het daar op aan moet kopen dat Apple hun computers moet gaan afstemmen op de mensen die zelf niet meer na kunnen denken wanneer ze met devices online gaan dan is het denk ik tijd dat je de Mac gaat verlaten.

    Veiligheid prima. Developers 99,- laten betalen voor een betrouwbare Safari extensie via Apple te pushen helemaal mee eens maar we hoeven het niet dicht te timmeren om het dichttimmeren. Zeker niet wanneer 98 van de kwaliteit software op je computer nog steeds buiten de Mac App Store wordt verkocht ipv van erin.

  • Profielfoto
    wensink

    Gewoon zorgen dat je je computer alleen “open” kan maken als je verstand van zaken hebt en voor de rest alles dicht maken. iOS geslotenheid voor m’n moeder en macOS flexibiliteit voor mij..

  • Profielfoto
    iDEOwen

    Root mag alles. Dit is de gebruiker die op een Mac alles kan en mag.

    Dit is niet meer het geval sinds we SIP hebben, zelfs de root mag niet meer alles. Wil niet zeggen dat het dan ineens helemaal niets meer kan, maar de corebestanden van macOS zijn iig beschermd. (Tenzij de eindgebruiker SIP heeft uitgeschakeld).

  • Profielfoto
    Imade

    Wat mij betreft komt Apple met OS 11 waarin alles à la iOS is dichtgetimmerd.

    Dat is bij instellingen al in te stellen, niet nog dichter maken ajb zo heb je bijvoorbeeld vpn software die NIET in de mac os app store staan.. hoe moet je die dan krijgen?

  • Profielfoto
    Ruud Ravenhorst

    @iMac lover: Volgens mij heeft @Lucas Raggers het daar ook niet over. Even herlezen voor je reageert voortaan?

  • Profielfoto
    iMac Lover

    @Ruud Ravenhorst @Lucas Raggers
    Verontschuldiging ik las in gedachten iOS 11 en niet OS 11

    Mijn fout

  • Profielfoto
    Shmoo

    Zeker is dat jouw fout – zet hem maar op je aanhangwagen bij al die andere fouten.:smile: