Revelan graves vulnerabilidades en populares aplicaciones de escritorio
Se han descubierto m煤ltiples vulnerabilidades de un clic (one-click) en una variedad de populares aplicaciones como VLC y Telegram. Las vulnerabilidades permiten a un atacante ejecutar c贸digo arbitrario en los sistemas de destino.
Las vulnerabilidades fueron descubiertas por los investigadores de Positive Security, Fabian Br盲unlein y Lukas Euler. Estas afectan a aplicaciones como Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, billeteras de Bitcoin/Dogecoin, Wireshark y Mumble.
“Las aplicaciones de escritorio que aceptan URL麓s proporcionadas por el usuario para ser abiertas por el sistema operativo son frecuentemente vulnerables. Estas son vulnerables a la ejecuci贸n de c贸digo con la interacci贸n del usuario. La ejecuci贸n de c贸digo se puede lograr cuando se abre una URL que apunta a un ejecutable malicioso (.desktop, .jar, .exe, …). El ejecutable debe estar alojado en un recurso compartido de archivos accesible en Internet (nfs, webdav, smb, …). Tambi茅n puede funcionar en una vulnerabilidad adicional en el controlador URI de la aplicaci贸n abierta”.
Investigadores de Positive Security
Dicho de otra manera; las vulnerabilidades provienen de una validaci贸n insuficiente de la entrada de URL. Cuando esta se abre con la ayuda del sistema operativo subyacente, conduce a la ejecuci贸n inadvertida de un archivo malicioso.
El an谩lisis de Positive Security encontr贸 que muchas aplicaciones no pudieron validar las URL麓s. Esto permite a un adversario crear un enlace especialmente dise帽ado que apunta a un fragmento de c贸digo de ataque, lo que resulta en la ejecuci贸n remota del c贸digo.
Aplicaciones afectadas
Tras la divulgaci贸n responsable, la mayor铆a de las aplicaciones han lanzado parches para reparar las fallas:
- Nextcloud: se corrigi贸 en la versi贸n 3.1.3 del cliente de escritorio lanzada el 24 de febrero (CVE-2021-22879)
- Telegram. La vulnerabilidad fue informada el 11 de enero y subsiguientemente solucionada mediante un cambio en el servidor el 10 de febrero (o un poco antes)
- VLC Player. La vulnerabilidad fue reportada el 18 de enero. La versi贸n parcheada 3.0.13 ha sido programada para su lanzamiento la pr贸xima semana
- OpenOffice: se solucionar谩 en la pr贸xima actualizaci贸n (CVE-2021-30245)
- LibreOffice: dirigido en Windows, pero vulnerable en Xubuntu (CVE-2021-25631)
- Mumble: se corrigi贸 en la versi贸n 1.3.4 lanzada el 10 de febrero (CVE-2021-27229)
- Dogecoin: corregido en la versi贸n 1.14.3 lanzada el 28 de febrero
- Bitcoin ABC: corregido en la versi贸n 0.22.15 lanzada el 9 de marzo
- Bitcoin Cash: corregido en la versi贸n 23.0.0 (actualmente en proceso de lanzamiento)
- Wireshark: corregido en la versi贸n 3.4.4 lanzada el 10 de marzo (CVE-2021-22191)
- WinSCP: corregido en la versi贸n 5.17.10 lanzada el 26 de enero (CVE-2021-3331)
“Esta vulnerabilidad abarca m煤ltiples capas en el conjunto de aplicaciones del sistema objetivo. Esto facilita que los encargados de mantenimiento puedan echar la culpa y evitar asumir la carga de implementar medidas de mitigaci贸n por su parte”.
Investigadores de Positive Security
Sin embargo, debido a la diversidad de sistemas cliente y sus estados de configuraci贸n, es crucial que todas las partes involucradas asuman cierta responsabilidad y agreguen su contribuci贸n en forma de medidas de mitigaci贸n. Por ejemplo, la validaci贸n de URL y evitar que los recursos compartidos remotos se monten autom谩ticamente.