Bloghacking newsremote code execution

Hack de 1 clic encontrado en aplicaciones de escritorio populares: compruebe si las está usando

Se han descubierto múltiples vulnerabilidades de un clic en una variedad de aplicaciones de software populares, lo que permite a un atacante ejecutar código arbitrario en los sistemas de destino.

Los problemas fueron descubiertos por los investigadores de Positive Security, Fabian Bräunlein y Lukas Euler, y afectan a aplicaciones como Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin / Dogecoin Wallets, Wireshark y Mumble.

“Las aplicaciones de escritorio que pasan URL proporcionadas por el usuario para ser abiertas por el sistema operativo son frecuentemente vulnerables a la ejecución de código con la interacción del usuario”, los investigadores dicho. “La ejecución de código se puede lograr cuando se abre una URL que apunta a un ejecutable malicioso (.desktop, .jar, .exe, …) alojado en un recurso compartido de archivos accesible en Internet (nfs, webdav, smb, …) o una vulnerabilidad adicional en el controlador URI de la aplicación abierta “.

Dicho de otra manera; las fallas provienen de una validación insuficiente de la entrada de URL que, cuando se abre con la ayuda del sistema operativo subyacente, conduce a la ejecución inadvertida de un archivo malicioso.

El análisis de Positive Security encontró que muchas aplicaciones no pudieron validar las URL, lo que permitió a un adversario crear un enlace especialmente diseñado que apunta a un fragmento de código de ataque, lo que resulta en la ejecución remota del código.

Tras la divulgación responsable, la mayoría de las aplicaciones han lanzado parches para remediar las fallas:

  • Nextcloud – Corregido en la versión 3.1.3 de Desktop Client lanzada el 24 de febrero (CVE-2021-22879)
  • Telegram: problema informado el 11 de enero y subsiguientemente solucionado mediante un cambio en el servidor el 10 de febrero (o un poco antes)
  • Reproductor de VLC – Problema informado el 18 de enero, con la versión parcheada 3.0.13 programada para su lanzamiento la próxima semana
  • OpenOffice: se solucionará en la próxima versión 4.1.10 (CVE-2021-30245)
  • LibreOffice – Dirigido en Windows, pero vulnerable en Xubuntu (CVE-2021-25631)
  • Mascullar – Corregido en la versión 1.3.4 lanzada el 10 de febrero (CVE-2021-27229)
  • Dogecoin – Corregido en la versión 1.14.3 lanzada el 28 de febrero
  • Bitcoin ABC – Corregido en la versión 0.22.15 lanzada el 9 de marzo
  • Bitcoin efectivo – Corregido en la versión 23.0.0 (actualmente en proceso de lanzamiento)
  • Wireshark – Corregido en la versión 3.4.4 lanzada el 10 de marzo (CVE-2021-22191)
  • WinSCP – Corregido en la versión 5.17.10 lanzada el 26 de enero (CVE-2021-3331)

“Este problema abarca múltiples capas en la pila de aplicaciones del sistema objetivo, lo que facilita que los encargados de mantenimiento de cualquiera puedan echar la culpa y evitar asumir la carga de implementar medidas de mitigación por su parte”, dijeron los investigadores.

“Sin embargo, debido a la diversidad de sistemas cliente y sus estados de configuración, es crucial que todas las partes involucradas asuman cierta responsabilidad y agreguen su contribución en forma de medidas de mitigación”, como la validación de URL y la prevención de que los recursos compartidos remotos sean automáticos. -montado.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar