17 abr. 2021

Vulnerabilidades de 1-Click encontradas en varias aplicaciones de escritorio

Se han descubierto múltiples vulnerabilidades de un clic en una variedad de aplicaciones de software populares, lo que permite a un atacante ejecutar código arbitrario en los sistemas de destino.

Los problemas fueron descubiertos por los investigadores de Positive Security, Fabian Bräunlein y Lukas Euler, y afectan a aplicaciones como Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin / Dogecoin Wallets, Wireshark y Mumble.

"Las aplicaciones de escritorio que pasan URL proporcionadas por el usuario para ser abiertas por el sistema operativo son frecuentemente vulnerables a la ejecución de código con la interacción del usuario", dijeron los investigadores. La ejecución de código se puede lograr cuando se abre una URL que apunta a un ejecutable malicioso (.desktop, .jar, .exe, ...) alojado en un recurso compartido de archivos accesible en Internet (NFS, webdav, SMB, ...) o una vulnerabilidad adicional en el controlador URI de la aplicación abierta.

Dicho de otra manera; las fallas provienen de una validación insuficiente de la entrada de URL que, cuando se abre con la ayuda del sistema operativo subyacente, conduce a la ejecución inadvertida de un archivo malicioso.

El análisis de Positive Security descubrió que muchas aplicaciones no podían validar correctamente las URL, lo que permitió a un adversario crear un enlace especialmente diseñado que apunta a un fragmento de código de ataque, lo que resulta en la ejecución remota del código.

Tras la divulgación responsable, la mayoría de las aplicaciones han lanzado parches para remediar las fallas:

  • Nextcloud: se corrigió en la versión 3.1.3 de Desktop Client lanzada el 24 de febrero (CVE-2021-22879).
  • Telegram: problema informado el 11 de enero y solucionado mediante un cambio en el servidor el 10 de febrero (o un poco antes). Video
  • VLC Player: problema informado el 18 de enero, con la versión parcheada 3.0.13 programada para su lanzamiento la próxima semana.
  • OpenOffice: se solucionará en el próximo (CVE-2021-30245).
  • LibreOffice: vulnerable en Xubuntu (CVE-2021-25631).
  • Mumble: se corrigió en la versión 1.3.4 lanzada el 10 de febrero (CVE-2021-27229).
  • Dogecoin: corregido en la versión 1.14.3 lanzada el 28 de febrero.
  • Bitcoin ABC: corregido en la versión 0.22.15 lanzada el 9 de marzo.
  • Bitcoin Cash: corregido en la versión 23.0.0 (actualmente en proceso de lanzamiento).
  • Wireshark: corregido en la versión 3.4.4 lanzada el 10 de marzo (CVE-2021-22191).
  • WinSCP: corregido en la versión 5.17.10 lanzada el 26 de enero (CVE-2021-3331).

"Este problema abarca múltiples capas en la pila de aplicaciones del sistema de destino, por lo que es fácil para los responsables, evitar asumir la carga de implementar medidas de mitigación por su parte", dijeron los investigadores.

"Sin embargo, debido a la diversidad de sistemas cliente y sus estados de configuración, es crucial que todas las partes involucradas asuman cierta responsabilidad y agreguen su contribución en forma de medidas de mitigación", como la validación de URL y evitar que los recursos compartidos remotos sean automáticamente montados.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!