image

Google vindt ernstig beveiligingslek in ESET Antivirus

dinsdag 28 februari 2017, 11:33 door Redactie, 17 reacties

Onderzoekers van Google hebben een ernstig beveiligingslek in ESET Antivirus voor macOS ontdekt waardoor een aanvaller systemen volledig kon overnemen. ESET Antivirus draait standaard als root op macOS. De virusscanner maakte echter gebruik van een kwetsbare softwarebibliotheek voor het verwerken van xml-bestanden.

Via een kwaadaardig xml-bestand was het voor een aanvaller mogelijk om zonder enige interactie van gebruikers willekeurige code op het systeem uit te voeren. Als ESET Antivirus de licentie probeert te activeren wordt er verbinding gemaakt met een ESET-webserver. De virusscanner controleert echter niet het servercertificaat van de webserver. Een aanvaller tussen de gebruiker en het internet kan het verzoek van de virusscanner onderscheppen en het activatieverzoek beantwoorden.

Dit antwoord wordt als een xml-document door de virusscanner verwerkt, waardoor de aanvaller de kwetsbaarheid in de xml-bibliotheek kan misbruiken en willekeurige code met rootrechten kan uitvoeren. Het beveiligingslek werd op 3 november vorig jaar door Google-onderzoekers Jason Geffner en Jan Bee ontdekt en dezelfde dag aan ESET gerapporteerd. Vorige week dinsdag bracht ESET een update uit, waarna Google nu de details heeft geopenbaard. In 2015 vonden onderzoekers van Google ook al verschillende keren kwetsbaarheden in de anti-virussoftware van ESET.

Reacties (17)
28-02-2017, 11:49 door [Account Verwijderd]
[Verwijderd]
28-02-2017, 11:53 door Anoniem
Google dit, Google dat... Altijd klagen over kritieke problemen in andere software, dat plugins de browser laten crashen, enz. Zelf zijn ze met Chrome al op v56 (en niet vanwege nieuwe features, merendeel vanwege kritieke lekken). Laten ze eerst maar eens hun eigen software op orde brengen aleer anderen te bekritiseren.

Tuurlijk is dit een bug, maar de pot verwijt de ketel dat hij zwart ziet hier,,,
28-02-2017, 11:58 door Ron625
Dat is nu het nadeel van antivirus software onder BSD, of onder Linux.
Om alles te mogen lezen, werkt het onder een root account, wat het systeem extra kwetsbaar maakt.
Geen virus scanner lijkt mij dan ook veiliger op dit soort systemen, er mag niets continue onder een root account werken.
28-02-2017, 12:07 door Anoniem
Door Ron625: Dat is nu het nadeel van antivirus software onder BSD, of onder Linux.
Om alles te mogen lezen, werkt het onder een root account, wat het systeem extra kwetsbaar maakt.
Geen virus scanner lijkt mij dan ook veiliger op dit soort systemen, er mag niets continue onder een root account werken.

Ik gebruik al jaren geen antivirus meer. Antivirus is voor mensen die niet verantwoord met hun computer omgaan en bij elke popup denkt dat er iets mis is met hun systeem. Ik heb nooit een aanval ontdekt op mijn laptop. Een goede adblocker, bewust omgaan met bestanden, updaten en upgraden, en een firewall die inkomende verbindingen blokkeert is voor mij voldoende om geen extra CPU aan een stuk verdriet te geven.
28-02-2017, 12:23 door karma4
Selinux ....
28-02-2017, 12:36 door Anoniem
Door karma4: Selinux ....

Beveiligingsmodel overgenomen in OS X El Capitan.
Dat heb je ooit zelf hier vastgesteld en is het eerste en laatste positieve dat je ooit over Mac OS X hebt opgemerkt.
Slip of the tongue aan goed verborgen diep respect voor en verlangen naar Mac OS X ?
Mag hoor.

Het is een leuk systeem.
28-02-2017, 13:17 door Anoniem
Door Anoniem: Zelf zijn ze met Chrome al op v56 (en niet vanwege nieuwe features, merendeel vanwege kritieke lekken). Laten ze eerst maar eens hun eigen software op orde brengen aleer anderen te bekritiseren.

Tuurlijk is dit een bug, maar de pot verwijt de ketel dat hij zwart ziet hier,,,

Je ben Chrome aan het shamen voor het snel ophogen van versienummers, dat komt doordat ze beveiliginspatches uitvoeren.
Jij vind een actief (beveiligings)update beleid slechter dan weken wachten en deze dan in batches door te voeren?
Dit is continuous deployment.

Daarnaast is dit geen pot en ketel verhaal. Dit is Google die iets constateert (zij het door actief onderzoek), het probleem meldt en disclosure levert nadat het probleem is opgelost. Het is daarnaast geen marketingsmiddel voor ze en, zover ik weet, verdient Google hier niets aan.

Dit zijn gevaarlijke bugs. Wees blij dat ze zijn opgelost.
28-02-2017, 13:39 door Anoniem
Nou, kom er maar in Martijn van Virus Bulletin. Zoveelste bevestiging dat je helemaal niets hebt aan virus "scanners", ze doen meer kwaad dan goed.

Nu zijn er meteen een paar dingen waar ik me mateloos aan erger.

Om te beginnen ESET: ze weten verdomd goed dat het onzin is, maar ze zien het als business dus ze zullen er niet zo snel mee stoppen. Dat is toch een weinig ethische vorm van ondernemen als je mij vraagt? Dat je zo je geld wilt verdienen. Het verbaasd me echt. Mij de eer te na. De eigenaar van ESET is dacht ik trouwens een Nederlander.

In de mainstream computer bladen (Computer Idee/Totaal, PCM) zal je zelden tot nooit lezen dat je die virusscanner troep maar beter zsm van je computer moet gooien. Wat hebben we nou aan zulk soort bladen?! Informeer de rest van NL nou eens goed.
28-02-2017, 13:45 door Anoniem
Door Anoniem: Google dit, Google dat... Altijd klagen over kritieke problemen in andere software, dat plugins de browser laten crashen, enz. Zelf zijn ze met Chrome al op v56 (en niet vanwege nieuwe features, merendeel vanwege kritieke lekken). Laten ze eerst maar eens hun eigen software op orde brengen aleer anderen te bekritiseren.

Tuurlijk is dit een bug, maar de pot verwijt de ketel dat hij zwart ziet hier,,,

Naja je ziet vooral dat niemand anders het doet en dat die Tavis Omandy echt enorm goed werk verricht wat die dure klote AV boeren laten liggen: (lees zijn tweets maar eens https://twitter.com/taviso)
Hij houdt zich niet bezig met de browser maar gewoon met reverse engineering, vergeet niet dat virustotal van Google is en dat ze echt wel iets doen met die kennis die ze vergaren.
Ookal is hun browser niet de beste (volgens mij wel trouwens) qua sandboxing, dan is het toch nog steeds prettig dat ze tijd en geld stoppen in het onmaskeren van al die brakke MitM AV boeren meuk?
28-02-2017, 18:16 door karma4 - Bijgewerkt: 01-03-2017, 19:20
Door Anoniem:
Door karma4: Selinux ....

Beveiligingsmodel overgenomen in OS X El Capitan.
Dat heb je ooit zelf hier vastgesteld en is het eerste en laatste positieve dat je ooit over Mac OS X hebt opgemerkt.
Slip of the tongue aan goed verborgen diep respect voor en verlangen naar Mac OS X ?
Mag hoor.

Het is een leuk systeem.
Ik mag de politiek niet van het bedrijf, dat is wat anders dan techniek.
Mijn reactie was gericht op dat onder root draaien. Dat is een te vaak gebezigd iets omdat het werkt.
01-03-2017, 08:58 door Anoniem
Voor de mensen die hierboven schrijven dat ze geen AV meer gebruiken: het is een vereiste van de NVB dat je AV draait. Nou ja, geen vereiste, maar mocht door wat dan ook je rekening leeggehaald worden en je draait geen AV krijg je niks van de bank.
01-03-2017, 11:10 door Anoniem
Door Anoniem: Voor de mensen die hierboven schrijven dat ze geen AV meer gebruiken: het is een vereiste van de NVB dat je AV draait. Nou ja, geen vereiste, maar mocht door wat dan ook je rekening leeggehaald worden en je draait geen AV krijg je niks van de bank.

En Linux dan? Een A-V is Linux draaien is in vrijwel alle gevallen onverstandig. De A-V in Linux als die aangevallen wordt dan heeft het volledig root toegang.. Onder MacOS eigenlijk hetzelfde verhaal. Alleen bij Windows is sterk aan te raden, ook daar hoor je steeds meer dat antivirus kwetsbaar maakt maar gezien het aantal dreigingen op Windows, is een antivirus wel een soort noodzaak. Hoe het exact dan zit bij bankregels onder MacOS/OSX en GNU/Linux weet ik niet.
01-03-2017, 13:19 door Ron625
Door Anoniem:
Door Anoniem: Voor de mensen die hierboven schrijven dat ze geen AV meer gebruiken: het is een vereiste van de NVB dat je AV draait. Nou ja, geen vereiste, maar mocht door wat dan ook je rekening leeggehaald worden en je draait geen AV krijg je niks van de bank.

En Linux dan? Een A-V is Linux draaien is in vrijwel alle gevallen onverstandig. De A-V in Linux als die aangevallen wordt dan heeft het volledig root toegang.. Onder MacOS eigenlijk hetzelfde verhaal. Alleen bij Windows is sterk aan te raden, ook daar hoor je steeds meer dat antivirus kwetsbaar maakt maar gezien het aantal dreigingen op Windows, is een antivirus wel een soort noodzaak. Hoe het exact dan zit bij bankregels onder MacOS/OSX en GNU/Linux weet ik niet.
Hierover heb ik een discussie gehad met een paar banken.
Het komt er op neer, dat je moet aantonen, dat jouw systeem up-to-date is.
Dus Windows met beveiligingssofware en alle updates, of een ander OS dat up-to-date is.
Ze waren het met mij eens, dat een antivirus programma onder Linux, of BSD, de zaken alleen kunnen verslechteren.
01-03-2017, 13:51 door [Account Verwijderd] - Bijgewerkt: 01-03-2017, 13:51
[Verwijderd]
01-03-2017, 16:44 door Ron625 - Bijgewerkt: 01-03-2017, 16:50
Door Rinjani:De on-demand functionaliteit van een virusscanner, waarmee je bv. je downloads scant is altijd aan te bevelen. De on-access functionaliteit van bv. Sophos voor Linux [1] is gewoon uit te schakelen.
Wanneer het gaat om installeerbare downloads, ja.
Wanneer het gaat om documenten, foto's, filmpjes en muziek, nee.
Een programma, dus ook een virus kan alleen geïnstalleerd worden na het invoeren van het root-wachtwoord.
Een download krijgt ook nooit standaard uitvoeringsrechten.
Krijg je zo toch een virus binnen, dan is het (zoals meestal) je eigen schuld.
Zie ook: https://sites.google.com/site/computertip/veiligheid
01-03-2017, 18:07 door [Account Verwijderd] - Bijgewerkt: 01-03-2017, 18:16
[Verwijderd]
01-03-2017, 18:10 door Ron625
Door Rinjani:Om een programma uit te voeren hoef je het niet eerst te installeren. Gewoon uitvoeren volstaat en daar heb je geen root wachtwoord voor nodig.
We praten langs elkaar :-)
Een bestand dat wordt gedownload, komt in je /home map en heeft standaard geen uitvoer rechten.
Je kunt het dus nooit per ongeluk starten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.