Esta semana en seguridad: Más información sobre WhatsApp, Nextcry, Hover To Crash y Android Permissions Bypass

Hay otro fallo de WhatsApp, pero en lugar de GIF maliciosos, esta vez se trata de archivos mp4 maliciosos. Facebook anunció la vulnerabilidad a finales de la semana pasada. Se ha publicado una actualización, por lo que primero hay que asegurarse de que WhatsApp esté actualizado. La advertencia de Facebook es un poco ligera en cuanto a los detalles, diciendo simplemente que un “desbordamiento del búfer basado en la pila” era posible como resultado de “analizar los metadatos de flujo elemental de un fichero mp4”.

Poco después de que se anunciara el fallo, apareció un repositorio GitHub, con un archivo mp4 de prueba de concepto para CVE-2019-11931. (Gracias a [justtransit] en Reddit para el enlace.) No puedo probar fácilmente el fichero PoC, pero podemos echarle un vistazo para ver cuál es la vulnerabilidad. ¿Qué herramientas necesitamos para echar un vistazo? Un editor hexadecimal es un buen comienzo. Estoy usando GHex, simplemente porque estaba disponible y se instaló fácilmente en Fedora.

¿Ves el problema? Yo tampoco, al principio.

La otra herramienta que necesitamos es algo de documentación sobre cómo se supone que el formato mp4 debe ser formateado. El mp4 tiene una historia histórica, que desciende del formato QuickTime Movie de Apple. La documentación para desarrolladores de Apple fue bastante útil para aprender sobre el mp4. También hice referencia a un oscuro sitio web de geociudades archivado para responder a una pregunta específica que no estaba clara en la página de Apple.

Entonces, ¿qué está pasando en ese archivo mp4 PoC? Un archivo mp4 es un formato binario que contiene valores binarios y texto UTF. Generalmente tiene el formato de un entero de cuatro bytes sin signo que contiene el tamaño del campo, un campo UTF de cuatro bytes que contiene la etiqueta legible por el ser humano, y finalmente los datos binarios. Estos conjuntos de tamaño/etiqueta/datos se denominan átomos. Algunos átomos también contienen información adicional de cabecera, como bytes reservados para banderas e información de versión. Uno de los campos de átomos es el meta campo, usado para llevar información de metada. Este átomo se define como si contuviera al menos tres subátomos, hdlr, claves e ilist. A primera vista, el archivo PoC parece tener un meta átomo válido. Supongo que el analizador de WhatsApp fue engañado de la misma forma que yo fui engañado la primera vez que miré el archivo.

Al buscar datos sobre átomos mp4, descubrí una herramienta útil, AtomicParsley. Es un poco vieja, y la fuente necesitaba algunos retoques para conseguir que compilara. El esfuerzo valió la pena, ya que al ejecutar AtomicParsley sobre el archivo PoC se reveló inmediatamente el ataque. ¿Ves el problema ahora? El meta átomo sólo suma 117 bytes, pero contiene un átomo sin nombre de casi 7000 bytes de largo. Ese átomo sin nombre es en realidad el resto del archivo. ¿Qué está pasando, y por qué no es obvio cuando se mira el archivo en el editor hexadecimal?

Parece que tenemos un átomo de meta que contiene un átomo de hdlr. Tiene sentido, una longitud de cuatro bytes seguida de la etiqueta meta, y luego una longitud de cuatro bytes y la etiqueta hdlr. Lo que no es aparente es que el meta átomo se define como teniendo información adicional de cabecera. La información sobre el formato mp4 que encontré dice que después de la meta cadena, el archivo debería contener cuatro bytes nulos, reservados para un número de versión y tres bytes de banderas. Esto desplaza el análisis sintáctico del meta átomo cuatro bytes fuera de sincronización, y lo que parece ser otra etiqueta se interpreta en realidad como una longitud de campo. En lugar de una longitud de 33 bytes, ese átomo tiene un tamaño de 1,6 GB. Esto es obviamente más grande que el archivo en sí, por lo que AtomicParsley considera que el átomo tiene sólo 7095 bytes de longitud.

El anuncio de la vulnerabilidad llamó a la falla un desbordamiento del búfer basado en la pila. Generalmente se desencadenan al escribir demasiados datos en una variable de pila. Vamos a especular un poco sobre el aspecto de la vulnerabilidad. Una función responsable del análisis sintáctico de la cabecera de un archivo mp4 declara un array de caracteres que se almacena en la pila, por lo que no se utiliza malloc. Ese array se establece a una longitud que el autor considera “suficientemente larga”, o incluso puede usar un array de longitud variable. En cualquier caso, los datos están en la pila. Es probable que este analizador haga una comprobación de cordura en el archivo mp4 antes de copiar los datos en los búferes apropiados. Esta comprobación de cordura puede simplemente confiar en la longitud declarada del meta-átomo, o puede haber sido engañado por el archivo casi correctamente formateado. De cualquier manera, a medida que se copian los datos, los cuatro bytes que faltan hacen que el resto del archivo se copie en esa matriz de pilas, que en realidad no es lo suficientemente grande para contenerlo. Los datos se copian sobre lo que sea que haya en la pila, sobrescribiendo la dirección de retorno y saltando la ejecución del programa a donde quiera un atacante.

Una vez que el comando de copia llega al final del archivo, probablemente se produce un error e intenta volver de la función actual. Dado que un atacante controla la dirección de retorno y puede escribir en la pila, esa llamada de retorno puede saltar directamente al código del atacante.

No está claro si este problema fue encontrado y revelado por [Kasif Dekel], el investigador que subió el PoC a GitHub, o si estaba siendo utilizado activamente en los ataques. Edición: He recibido confirmación en este punto. [Kasif Dekel], [Ronen Shustin] y [Kobi Hazak] estaban investigando activamente este fallo, pero antes de que finalizaran su investigación y revelaran la vulnerabilidad, WhatsApp la descubrió y parcheó de forma independiente. Los informes iniciales sobre este problema proceden de la India. Si alguno de ustedes tiene alguna información adicional sobre si esta vulnerabilidad se ha utilizado de forma salvaje, y en particular información sobre cómo obtener una muestra en vivo del mp4 malicioso, ¡por favor, háganmelo saber!


Nextcry Ransomware en Nextcloud

¿Recuerda el problema de NGINX del que hablamos a principios de este mes? Parece que múltiples instalaciones de Nextcloud eran vulnerables a ese ataque, y se está llevando a cabo activamente un ataque de rescate contra ellas. Nextcry cifra los archivos almacenados en la instancia de Nextcloud, y exige un poco más de 200 dólares de Bitcoin para su desencriptación. Sólo un recordatorio, esto no es una falla en Nextcloud en sí, pero siguiendo la documentación oficial de Nextcloud en un servidor NGINX resultó en un sistema vulnerable.


Mouseover to Crash

Este mes se ha solucionado un problema especialmente grave en Windows 8.1 y 10. Se descubrió una dll PE (Portable Executable) para bloquear el kernel de Windows al pasar el ratón sobre el archivo en el Explorador. Es posible que este error se pueda usar para leer la memoria protegida, pero lo desagradable de este problema radica en lo difícil que es deshacerse del archivo una vez descargado. Intentar eliminar el archivo malicioso también provocará el fallo del kernel. La gente de Tetrane utilizó este error como una oportunidad para mostrar sus herramientas, y hacer una inmersión profunda en el problema y en la solución de Microsoft.


La vulnerabilidad de la cámara de Android

Android utiliza actividades e intenciones para lanzar aplicaciones, y es posible que una aplicación envíe una intención de lanzar la actividad de otra aplicación. Esta funcionalidad es útil para muchos escenarios, pero puede tener consecuencias imprevistas, como que una aplicación pueda solicitar a la aplicación de la cámara que tome fotos o vídeo.

Imagine que descarga una aplicación que solicita acceso a su almacenamiento de archivos. Eso le da a una aplicación acceso a todas tus imágenes, videos, etc. Si está dispuesto a correr ese riesgo, el problema mencionado anteriormente permite que esa aplicación maliciosa tome fotos y vídeos, y luego acceda a esos archivos. No se trata de un ataque particularmente sutil: el dispositivo obviamente iniciará la aplicación de la cámara y hará el sonido normal del obturador mientras se toman las fotos. Los investigadores de Checkmarx que descubrieron el problema sugieren que un atacante inteligente esperaría hasta que el sensor de proximidad se activara. La grabación de un vídeo en ese estado probablemente captaría el audio de una llamada en curso, además de ser más difícil de notar para un usuario, ya que la mayoría de los teléfonos apagan la pantalla cuando el sensor de proximidad detecta una cara cercana.

El artículo de ArsTechnica incluye un comando ADB que puede ejecutar para comprobar si su dispositivo ha sido reparado. No está claro cuántos dispositivos han recibido las actualizaciones y es probable que algunos dispositivos más antiguos nunca lo hagan.


Disney Plus y el robo de cuentas

Disney ha lanzado su nuevo servicio de streaming, Disney+. Probablemente no debería ser una sorpresa que un gran número de cuentas hayan sido comprometidas y vendidas casi inmediatamente. Muchas de las cuentas de Disney+ fueron prepagadas por dos o tres años, lo que las convierte en atractivos objetivos.

Disney ha declarado que en realidad no sufrieron una brecha. Es probable que las cuentas fueran comprometidas a través de uno de varios métodos diferentes. La reutilización de la contraseña es la más simple. Otra posibilidad es el phishing y los anuncios que apuntan a páginas de inicio de sesión falsas. O tal vez los usuarios se conectaron a una máquina ya comprometida que capturó sus credenciales. En cualquier caso, el lanzamiento de Disney+ ha sido un poco accidentado, probablemente debido en gran parte a que el número de registros ha sido mayor de lo esperado.


Docker CP Escape

Docker ha demostrado ser invaluable como una forma de aislar procesos en un servidor. ¿Tiene un servicio de cara al público que le preocupa que pueda verse comprometido? Tíralo en un contenedor Docker, e incluso si se ve comprometido, el sistema operativo es seguro… en teoría. Anunciado el martes, CVE-2019-14271 permite a un atacante atrapar una imagen Docker y escapar del contenedor al sistema operativo de metal desnudo.

El concepto central de la falla gira en torno a los comandos administrativos que se ejecutan en un entorno chroot. Actualización rápida, chroot es un comando de Unix que cambia la carpeta raíz efectiva en la que se ejecuta un comando. En muchos sentidos, chroot es uno de los predecesores de la moderna contenedorización al estilo Docker. ¿Necesita arreglar un sistema Linux que no arranca? Chroot le permite configurar un entorno en el que puede ejecutar comandos en una máquina en funcionamiento, pero utilizando el sistema de archivos raíz de destino.

El comando cp docker usa chroot para ejecutar un binario de ayuda dentro de un contenedor docker determinado. El problema ocurre cuando ese binario carga la biblioteca libnss compartida. Ya se está ejecutando dentro de un chroot, ¡así que carga la biblioteca desde el contenedor docker! Un atacante podría simplemente reemplazar la biblioteca libnss de un contenedor con una versión maliciosa, y la próxima vez que se use cp acoplado para copiar un archivo de ese contenedor, el código del atacante se está ejecutando como root fuera del contenedor. Docker 19.03.1 corrige el problema, ¡así que asegúrese de estar actualizado!

Esta semana en seguridad: Vulnerabilidades de Unicode, Truecrypt y NPM

Esta semana en seguridad: Vulnerabilidades de Unicode, Truecrypt y NPM

Unicode, la maravillosa extensión a ASCII que nos da gemas como "", "", y "", ha tenido algunas ramificaciones de ...
Leer Más
Agregue LEDs a sus vidrios de colores

Agregue LEDs a sus vidrios de colores

El vitral es un arte que se remonta a muchos siglos atrás, con las iglesias y catedrales de Europa que ...
Leer Más
Robot cuadrúpedo se disfraza de pelota

Robot cuadrúpedo se disfraza de pelota

Cuando los enjambres de robots de béisbol de Skynet ataquen, estaremos lanzando [Carl Bugeja] algunas miradas sucias para que empiecen ...
Leer Más
Una búsqueda épica para construir el portátil retro perfecto

Una búsqueda épica para construir el portátil retro perfecto

Es un buen momento para ser un fan de los videojuegos clásicos. La mayoría de nosotros llevamos un smartphone que ...
Leer Más
La piel robótica ve cuando (y cómo) la estás tocando

La piel robótica ve cuando (y cómo) la estás tocando

Las cámaras son cada vez menos visibles. Ahora se esconden bajo la piel de los robots. Un equipo de investigadores ...
Leer Más
Hoja de cálculo del DSP: Hablar con uno mismo usando IQ

Hoja de cálculo del DSP: Hablar con uno mismo usando IQ

Hemos hecho bastante con Google Sheets y el procesamiento de señales: hemos generado señales, creado filtros y calculado señales de ...
Leer Más
El desafío SMD de Supercon obtiene sondas impresas en 3D: construya las suyas propias

El desafío SMD de Supercon obtiene sondas impresas en 3D: construya las suyas propias

Este año fue el segundo desafío de SMD en Supercon, así que es lógico que hayamos aprendido algunas cosas del ...
Leer Más
Insecto robot sobrevive al aplastamiento

Insecto robot sobrevive al aplastamiento

Hay un viejo refrán que dice que "la mano es más rápida que el ojo, pero algo más lenta que ...
Leer Más
Alimentación de filamentos y electrones a través de un conector D-Sub personalizado

Alimentación de filamentos y electrones a través de un conector D-Sub personalizado

A veces olvidamos que las impresoras 3D son sólo plataformas CNC con un hotend acoplado, y que hay toda una ...
Leer Más
The Barn Find IBM 360 vuelve a casa

The Barn Find IBM 360 vuelve a casa

Es una historia que puede ser familiar para muchos de nosotros, la de pujar por un artículo en una subasta ...
Leer Más
Recuperación de Datos de Discos Rígidos - ¿Por qué no bricolaje?

Recuperación de Datos de Discos Rígidos – ¿Por qué no bricolaje?

Los fallos de los discos duros pueden ser difíciles de soportar, especialmente para la persona promedio que no hace copias ...
Leer Más
Creación de un escritorio de RV sin límites

Creación de un escritorio de RV sin límites

[Gabor Horvath] cree que incluso dos monitores son poco espacio para colocar sus ventanas correctamente. Por eso está construyendo un ...
Leer Más
ESP32 Muestreo de audio con interrupciones e IRAM

ESP32 Muestreo de audio con interrupciones e IRAM

Interrumpir mientras alguien habla es grosero para los humanos, pero inteligente para las computadoras. Ivan Voras] muestra cómo usar las ...
Leer Más
Una simple "computadora" de los años 60 ahora impresa en 3D

Una simple “computadora” de los años 60 ahora impresa en 3D

Ahora es un momento increíble para involucrarse en la escena de la electrónica de hobby. Hay robots para construir, microcontroladores ...
Leer Más
Agora, un reloj de papel electrónico que se puede piratear

Agora, un reloj de papel electrónico que se puede piratear

[Daniel Zilinec] aprecia la estética del e-paper y pensó que sería un gran reloj. La apariencia natural del e-paper ciertamente ...
Leer Más
Bucear con un suministro de aire ilimitado

Bucear con un suministro de aire ilimitado

Si quieres explorar bajo el agua, tienes algunas opciones. Puedes aguantar la respiración. Puedes intentar reciclar tu aire. Puedes llevar ...
Leer Más
Eso es todo, no más direcciones IPV4 europeas

Eso es todo, no más direcciones IPV4 europeas

¿Cuándo fue la primera vez que escuchó la preocupación expresada sobre la perspectiva de un crecimiento explosivo de Internet que ...
Leer Más
Impresora Gigante 3D Para Proyectos Gigantes

Impresora Gigante 3D Para Proyectos Gigantes

Los diseños de las impresoras 3D FDM establecidas generalmente se llevan bien a la escala, siempre y cuando se tenga ...
Leer Más
Brochetas de bambú lanzan un dirigible

Brochetas de bambú lanzan un dirigible

Tenemos que admitir que nos gustan las aeronaves. Hay algo en la imagen de un majestuoso zepelín flotando sobre Manhattan ...
Leer Más
Reemplazo de un teclado de computadora portátil no reemplazable

Reemplazo de un teclado de computadora portátil no reemplazable

Derramar una bebida en un portátil es una experiencia aterradora. Si tiene suerte, arruinará sólo un teclado, y si no, ...
Leer Más
Creación de Easy Glass Circuit Boards en casa

Creación de Easy Glass Circuit Boards en casa

Este consejo para crear placas de circuito de sustrato de vidrio en casa podría estar un poco más cerca de ...
Leer Más
Construyendo su propia estructura de Tensegridad

Construyendo su propia estructura de Tensegridad

Parece que las estructuras de tensegridad están de moda en Internet, posiblemente debido a la naturaleza aparentemente imposible de su ...
Leer Más
Todo su software de SDR en una práctica imagen de Raspberry Pi

Todo su software de SDR en una práctica imagen de Raspberry Pi

La revolución de la DEG ha traído una bonanza de oportunidades para la experimentación de los entusiastas de la radio, ...
Leer Más
Mantener el tiempo con las luces intermitentes

Mantener el tiempo con las luces intermitentes

Si hemos aprendido algo a lo largo de los años, es que a los hackers les gustan los relojes extraños, ...
Leer Más
IRENE va por ahí

IRENE va por ahí

Los equipos de lapso de tiempo son increíbles porque puedes darle sabor a tus vídeos con tomas de lapso de ...
Leer Más
La Torre Tesla de Texas se excita

La Torre Tesla de Texas se excita

Una de las cosas agradables de un viaje por carretera es que a menudo se llega a ver algo que ...
Leer Más
La réplica de ordenador en cartón es barata y fácil de hacer

La réplica de ordenador en cartón es barata y fácil de hacer

Replicar el hardware de las computadoras de la era de los años 60 puede ser una tarea desalentadora. Los componentes ...
Leer Más
La aplicación de teléfono de AI aprende las señales de béisbol

La aplicación de teléfono de AI aprende las señales de béisbol

Ver un deporte puede ser un poco extraño si no estás familiarizado con él. La mayoría de los estadounidenses, por ...
Leer Más
La impresora de línea hace su mejor impresión de teletipo

La impresora de línea hace su mejor impresión de teletipo

En los primeros días de la computación, las terminales de usuario utilizaban impresoras de línea para la salida. Naturalmente, esto ...
Leer Más
Frentes Yosys para Xilinx ISE

Frentes Yosys para Xilinx ISE

Siempre nos maravillamos de cómo las herramientas de código abierto pueden superar a menudo a sus homólogos comerciales. Yosys, la ...
Leer Más

Deja un comentario