Ofertas relámpago:  Curso de Hacking de Redes Inalámbricas 60% Descuento

Revelan graves vulnerabilidades en populares aplicaciones de escritorio

title

Se han descubierto múltiples vulnerabilidades de un clic (one-click) en una variedad de populares aplicaciones como VLC y Telegram. Las vulnerabilidades permiten a un atacante ejecutar código arbitrario en los sistemas de destino.

Las vulnerabilidades fueron descubiertas por los investigadores de Positive Security, Fabian Bräunlein y Lukas Euler. Estas afectan a aplicaciones como Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, billeteras de Bitcoin/Dogecoin, Wireshark y Mumble.

“Las aplicaciones de escritorio que aceptan URL´s proporcionadas por el usuario para ser abiertas por el sistema operativo son frecuentemente vulnerables. Estas son vulnerables a la ejecución de código con la interacción del usuario. La ejecución de código se puede lograr cuando se abre una URL que apunta a un ejecutable malicioso (.desktop, .jar, .exe, …). El ejecutable debe estar alojado en un recurso compartido de archivos accesible en Internet (nfs, webdav, smb, …). También puede funcionar en una vulnerabilidad adicional en el controlador URI de la aplicación abierta”.

Investigadores de Positive Security

Dicho de otra manera; las vulnerabilidades provienen de una validación insuficiente de la entrada de URL. Cuando esta se abre con la ayuda del sistema operativo subyacente, conduce a la ejecución inadvertida de un archivo malicioso.

El análisis de Positive Security encontró que muchas aplicaciones no pudieron validar las URL´s. Esto permite a un adversario crear un enlace especialmente diseñado que apunta a un fragmento de código de ataque, lo que resulta en la ejecución remota del código.

Aplicaciones afectadas

Tras la divulgación responsable, la mayoría de las aplicaciones han lanzado parches para reparar las fallas:

  • Nextcloud: se corrigió en la versión 3.1.3 del cliente de escritorio lanzada el 24 de febrero (CVE-2021-22879)
  • Telegram. La vulnerabilidad fue informada el 11 de enero y subsiguientemente solucionada mediante un cambio en el servidor el 10 de febrero (o un poco antes)
  • VLC Player. La vulnerabilidad fue reportada el 18 de enero. La versión parcheada 3.0.13 ha sido programada para su lanzamiento la próxima semana
  • OpenOffice: se solucionará en la próxima actualización (CVE-2021-30245)
  • LibreOffice: dirigido en Windows, pero vulnerable en Xubuntu (CVE-2021-25631)
  • Mumble: se corrigió en la versión 1.3.4 lanzada el 10 de febrero (CVE-2021-27229)
  • Dogecoin: corregido en la versión 1.14.3 lanzada el 28 de febrero
  • Bitcoin ABC: corregido en la versión 0.22.15 lanzada el 9 de marzo
  • Bitcoin Cash: corregido en la versión 23.0.0 (actualmente en proceso de lanzamiento)
  • Wireshark: corregido en la versión 3.4.4 lanzada el 10 de marzo (CVE-2021-22191)
  • WinSCP: corregido en la versión 5.17.10 lanzada el 26 de enero (CVE-2021-3331)

“Esta vulnerabilidad abarca múltiples capas en el conjunto de aplicaciones del sistema objetivo. Esto facilita que los encargados de mantenimiento puedan echar la culpa y evitar asumir la carga de implementar medidas de mitigación por su parte”.

Investigadores de Positive Security

Sin embargo, debido a la diversidad de sistemas cliente y sus estados de configuración, es crucial que todas las partes involucradas asuman cierta responsabilidad y agreguen su contribución en forma de medidas de mitigación. Por ejemplo, la validación de URL y evitar que los recursos compartidos remotos se monten automáticamente.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información