Esta semana en seguridad: Más información sobre WhatsApp, Nextcry, Hover To Crash y Android Permissions Bypass

Hay otro fallo de WhatsApp, pero en lugar de GIF maliciosos, esta vez se trata de archivos mp4 maliciosos. Facebook anunció la vulnerabilidad a finales de la semana pasada. Se ha publicado una actualización, por lo que primero hay que asegurarse de que WhatsApp esté actualizado. La advertencia de Facebook es un poco ligera en cuanto a los detalles, diciendo simplemente que un «desbordamiento del búfer basado en la pila» era posible como resultado de «analizar los metadatos de flujo elemental de un fichero mp4».

Poco después de que se anunciara el fallo, apareció un repositorio GitHub, con un archivo mp4 de prueba de concepto para CVE-2019-11931. (Gracias a [justtransit] en Reddit para el enlace.) No puedo probar fácilmente el fichero PoC, pero podemos echarle un vistazo para ver cuál es la vulnerabilidad. ¿Qué herramientas necesitamos para echar un vistazo? Un editor hexadecimal es un buen comienzo. Estoy usando GHex, simplemente porque estaba disponible y se instaló fácilmente en Fedora.

¿Ves el problema? Yo tampoco, al principio.

La otra herramienta que necesitamos es algo de documentación sobre cómo se supone que el formato mp4 debe ser formateado. El mp4 tiene una historia histórica, que desciende del formato QuickTime Movie de Apple. La documentación para desarrolladores de Apple fue bastante útil para aprender sobre el mp4. También hice referencia a un oscuro sitio web de geociudades archivado para responder a una pregunta específica que no estaba clara en la página de Apple.

Entonces, ¿qué está pasando en ese archivo mp4 PoC? Un archivo mp4 es un formato binario que contiene valores binarios y texto UTF. Generalmente tiene el formato de un entero de cuatro bytes sin signo que contiene el tamaño del campo, un campo UTF de cuatro bytes que contiene la etiqueta legible por el ser humano, y finalmente los datos binarios. Estos conjuntos de tamaño/etiqueta/datos se denominan átomos. Algunos átomos también contienen información adicional de cabecera, como bytes reservados para banderas e información de versión. Uno de los campos de átomos es el meta campo, usado para llevar información de metada. Este átomo se define como si contuviera al menos tres subátomos, hdlr, claves e ilist. A primera vista, el archivo PoC parece tener un meta átomo válido. Supongo que el analizador de WhatsApp fue engañado de la misma forma que yo fui engañado la primera vez que miré el archivo.

Al buscar datos sobre átomos mp4, descubrí una herramienta útil, AtomicParsley. Es un poco vieja, y la fuente necesitaba algunos retoques para conseguir que compilara. El esfuerzo valió la pena, ya que al ejecutar AtomicParsley sobre el archivo PoC se reveló inmediatamente el ataque. ¿Ves el problema ahora? El meta átomo sólo suma 117 bytes, pero contiene un átomo sin nombre de casi 7000 bytes de largo. Ese átomo sin nombre es en realidad el resto del archivo. ¿Qué está pasando, y por qué no es obvio cuando se mira el archivo en el editor hexadecimal?

Parece que tenemos un átomo de meta que contiene un átomo de hdlr. Tiene sentido, una longitud de cuatro bytes seguida de la etiqueta meta, y luego una longitud de cuatro bytes y la etiqueta hdlr. Lo que no es aparente es que el meta átomo se define como teniendo información adicional de cabecera. La información sobre el formato mp4 que encontré dice que después de la meta cadena, el archivo debería contener cuatro bytes nulos, reservados para un número de versión y tres bytes de banderas. Esto desplaza el análisis sintáctico del meta átomo cuatro bytes fuera de sincronización, y lo que parece ser otra etiqueta se interpreta en realidad como una longitud de campo. En lugar de una longitud de 33 bytes, ese átomo tiene un tamaño de 1,6 GB. Esto es obviamente más grande que el archivo en sí, por lo que AtomicParsley considera que el átomo tiene sólo 7095 bytes de longitud.

El anuncio de la vulnerabilidad llamó a la falla un desbordamiento del búfer basado en la pila. Generalmente se desencadenan al escribir demasiados datos en una variable de pila. Vamos a especular un poco sobre el aspecto de la vulnerabilidad. Una función responsable del análisis sintáctico de la cabecera de un archivo mp4 declara un array de caracteres que se almacena en la pila, por lo que no se utiliza malloc. Ese array se establece a una longitud que el autor considera «suficientemente larga», o incluso puede usar un array de longitud variable. En cualquier caso, los datos están en la pila. Es probable que este analizador haga una comprobación de cordura en el archivo mp4 antes de copiar los datos en los búferes apropiados. Esta comprobación de cordura puede simplemente confiar en la longitud declarada del meta-átomo, o puede haber sido engañado por el archivo casi correctamente formateado. De cualquier manera, a medida que se copian los datos, los cuatro bytes que faltan hacen que el resto del archivo se copie en esa matriz de pilas, que en realidad no es lo suficientemente grande para contenerlo. Los datos se copian sobre lo que sea que haya en la pila, sobrescribiendo la dirección de retorno y saltando la ejecución del programa a donde quiera un atacante.

Una vez que el comando de copia llega al final del archivo, probablemente se produce un error e intenta volver de la función actual. Dado que un atacante controla la dirección de retorno y puede escribir en la pila, esa llamada de retorno puede saltar directamente al código del atacante.

No está claro si este problema fue encontrado y revelado por [Kasif Dekel], el investigador que subió el PoC a GitHub, o si estaba siendo utilizado activamente en los ataques. Edición: He recibido confirmación en este punto. [Kasif Dekel], [Ronen Shustin] y [Kobi Hazak] estaban investigando activamente este fallo, pero antes de que finalizaran su investigación y revelaran la vulnerabilidad, WhatsApp la descubrió y parcheó de forma independiente. Los informes iniciales sobre este problema proceden de la India. Si alguno de ustedes tiene alguna información adicional sobre si esta vulnerabilidad se ha utilizado de forma salvaje, y en particular información sobre cómo obtener una muestra en vivo del mp4 malicioso, ¡por favor, háganmelo saber!


Nextcry Ransomware en Nextcloud

¿Recuerda el problema de NGINX del que hablamos a principios de este mes? Parece que múltiples instalaciones de Nextcloud eran vulnerables a ese ataque, y se está llevando a cabo activamente un ataque de rescate contra ellas. Nextcry cifra los archivos almacenados en la instancia de Nextcloud, y exige un poco más de 200 dólares de Bitcoin para su desencriptación. Sólo un recordatorio, esto no es una falla en Nextcloud en sí, pero siguiendo la documentación oficial de Nextcloud en un servidor NGINX resultó en un sistema vulnerable.


Mouseover to Crash

Este mes se ha solucionado un problema especialmente grave en Windows 8.1 y 10. Se descubrió una dll PE (Portable Executable) para bloquear el kernel de Windows al pasar el ratón sobre el archivo en el Explorador. Es posible que este error se pueda usar para leer la memoria protegida, pero lo desagradable de este problema radica en lo difícil que es deshacerse del archivo una vez descargado. Intentar eliminar el archivo malicioso también provocará el fallo del kernel. La gente de Tetrane utilizó este error como una oportunidad para mostrar sus herramientas, y hacer una inmersión profunda en el problema y en la solución de Microsoft.


La vulnerabilidad de la cámara de Android

Android utiliza actividades e intenciones para lanzar aplicaciones, y es posible que una aplicación envíe una intención de lanzar la actividad de otra aplicación. Esta funcionalidad es útil para muchos escenarios, pero puede tener consecuencias imprevistas, como que una aplicación pueda solicitar a la aplicación de la cámara que tome fotos o vídeo.

Imagine que descarga una aplicación que solicita acceso a su almacenamiento de archivos. Eso le da a una aplicación acceso a todas tus imágenes, videos, etc. Si está dispuesto a correr ese riesgo, el problema mencionado anteriormente permite que esa aplicación maliciosa tome fotos y vídeos, y luego acceda a esos archivos. No se trata de un ataque particularmente sutil: el dispositivo obviamente iniciará la aplicación de la cámara y hará el sonido normal del obturador mientras se toman las fotos. Los investigadores de Checkmarx que descubrieron el problema sugieren que un atacante inteligente esperaría hasta que el sensor de proximidad se activara. La grabación de un vídeo en ese estado probablemente captaría el audio de una llamada en curso, además de ser más difícil de notar para un usuario, ya que la mayoría de los teléfonos apagan la pantalla cuando el sensor de proximidad detecta una cara cercana.

El artículo de ArsTechnica incluye un comando ADB que puede ejecutar para comprobar si su dispositivo ha sido reparado. No está claro cuántos dispositivos han recibido las actualizaciones y es probable que algunos dispositivos más antiguos nunca lo hagan.


Disney Plus y el robo de cuentas

Disney ha lanzado su nuevo servicio de streaming, Disney+. Probablemente no debería ser una sorpresa que un gran número de cuentas hayan sido comprometidas y vendidas casi inmediatamente. Muchas de las cuentas de Disney+ fueron prepagadas por dos o tres años, lo que las convierte en atractivos objetivos.

Disney ha declarado que en realidad no sufrieron una brecha. Es probable que las cuentas fueran comprometidas a través de uno de varios métodos diferentes. La reutilización de la contraseña es la más simple. Otra posibilidad es el phishing y los anuncios que apuntan a páginas de inicio de sesión falsas. O tal vez los usuarios se conectaron a una máquina ya comprometida que capturó sus credenciales. En cualquier caso, el lanzamiento de Disney+ ha sido un poco accidentado, probablemente debido en gran parte a que el número de registros ha sido mayor de lo esperado.


Docker CP Escape

Docker ha demostrado ser invaluable como una forma de aislar procesos en un servidor. ¿Tiene un servicio de cara al público que le preocupa que pueda verse comprometido? Tíralo en un contenedor Docker, e incluso si se ve comprometido, el sistema operativo es seguro… en teoría. Anunciado el martes, CVE-2019-14271 permite a un atacante atrapar una imagen Docker y escapar del contenedor al sistema operativo de metal desnudo.

El concepto central de la falla gira en torno a los comandos administrativos que se ejecutan en un entorno chroot. Actualización rápida, chroot es un comando de Unix que cambia la carpeta raíz efectiva en la que se ejecuta un comando. En muchos sentidos, chroot es uno de los predecesores de la moderna contenedorización al estilo Docker. ¿Necesita arreglar un sistema Linux que no arranca? Chroot le permite configurar un entorno en el que puede ejecutar comandos en una máquina en funcionamiento, pero utilizando el sistema de archivos raíz de destino.

El comando cp docker usa chroot para ejecutar un binario de ayuda dentro de un contenedor docker determinado. El problema ocurre cuando ese binario carga la biblioteca libnss compartida. Ya se está ejecutando dentro de un chroot, ¡así que carga la biblioteca desde el contenedor docker! Un atacante podría simplemente reemplazar la biblioteca libnss de un contenedor con una versión maliciosa, y la próxima vez que se use cp acoplado para copiar un archivo de ese contenedor, el código del atacante se está ejecutando como root fuera del contenedor. Docker 19.03.1 corrige el problema, ¡así que asegúrese de estar actualizado!

El Festival RepRap de la Costa Este cobra vida en su segundo año

El Festival RepRap de la Costa Este cobra vida en su segundo año

Por casi cualquier medida que usted se preocupe por usar, el Festival de RepRap de la Costa Este (ERRF) inaugural ...
Leer Más
El barril de cerveza se convierte en un horno para pizza de alto rendimiento

El barril de cerveza se convierte en un horno para pizza de alto rendimiento

La pizza varía en todo el mundo, con varias ciudades que han puesto su propia marca en el plato italiano ...
Leer Más
Mueble para impresora 3D de código abierto apilable

Mueble para impresora 3D de código abierto apilable

Una de las desafortunadas realidades de la impresión en 3D con FDM de escritorio es que los factores ambientales, como ...
Leer Más
Impresora Gigante 3D Para Proyectos Gigantes

Impresora Gigante 3D Para Proyectos Gigantes

Los diseños de las impresoras 3D FDM establecidas generalmente se llevan bien a la escala, siempre y cuando se tenga ...
Leer Más
El Macro Pie Stool me ayuda a levantar una pierna en el trabajo

El Macro Pie Stool me ayuda a levantar una pierna en el trabajo

Los macros están pensados para facilitarnos la vida, pero cumplen esta promesa con resultados mixtos. En términos generales, una macro ...
Leer Más
El viejo árbol de Navidad da un nuevo giro

El viejo árbol de Navidad da un nuevo giro

Hace un par de navidades, [Nick] se cansó de intentar decorar uniformemente su árbol falso gigante y construyó una Susan ...
Leer Más
El Plotter Vintage recibe una actualización de Bluetooth

El Plotter Vintage recibe una actualización de Bluetooth

Recientemente [iot4c] tropezó con este magnífico plotter Robotron Reiss de 1989, completamente nuevo y todavía en su caja original. Construido ...
Leer Más
Un cubo de LED diseñado para un fácil montaje

Un cubo de LED diseñado para un fácil montaje

Los cubos de LED son hipnotizantes y divertidos, pero generalmente son un dolor de cabeza para construir. No es así ...
Leer Más
Alimentación de filamentos y electrones a través de un conector D-Sub personalizado

Alimentación de filamentos y electrones a través de un conector D-Sub personalizado

A veces olvidamos que las impresoras 3D son sólo plataformas CNC con un hotend acoplado, y que hay toda una ...
Leer Más
Una División en Estándares de Voltaje

Una División en Estándares de Voltaje

Durante mi reciente viaje a Europa, descubrí que los convertidores no se vendían tan comúnmente como los adaptadores, y por ...
Leer Más
Construcción de un panel frontal para el ordenador RC2014

Construcción de un panel frontal para el ordenador RC2014

El RC2014 es un ingenioso kit de ordenador Z80 que ha adornado estas páginas varias veces en el pasado. Permite ...
Leer Más
AMD presenta los nuevos mini PC Ryzen para desafiar a Intel

AMD presenta los nuevos mini PC Ryzen para desafiar a Intel

Para la mayoría de los proyectos de hackers y fabricantes, el ordenador en miniatura elegido estos últimos años ha sido ...
Leer Más
Contempla una pantalla 3D, gracias a una bola de espuma de alta velocidad

Contempla una pantalla 3D, gracias a una bola de espuma de alta velocidad

Hemos visto cómo se ha intentado la proyección de imágenes en 3D de diferentes maneras, pero ésta es una nueva ...
Leer Más
Reemplace su Smartphone con estos amuletos arcanos

Reemplace su Smartphone con estos amuletos arcanos

Es difícil no sentir el constante tirón de nuestra limitada atención desde los muy interesantes rectángulos de nuestros bolsillos y ...
Leer Más
Una fantástica frontera de flexibilidad FPGA en la insignia Supercon de 2019

Una fantástica frontera de flexibilidad FPGA en la insignia Supercon de 2019

Acabamos de concluir una exitosa Superconferencia de Digital Lithium en la que para muchos fue un punto culminante el estudio ...
Leer Más
Nuevos semiconductores de carburo de silicio aportan mejoras en la eficiencia de los EV

Nuevos semiconductores de carburo de silicio aportan mejoras en la eficiencia de los EV

Después de pasar gran parte del siglo XX languideciendo en el infierno del desarrollo, los coches eléctricos han llegado finalmente ...
Leer Más
Escher: Etch-a-Sketch como servicio

Escher: Etch-a-Sketch como servicio

Para bien o para mal, el mundo de la tecnología se ha comprometido plenamente a empujar tantos de sus productos ...
Leer Más
Vea un tirachinas hecho en arena, de principio a fin

Vea un tirachinas hecho en arena, de principio a fin

La fundición en arena de piezas metálicas es una técnica que existe desde hace mucho tiempo, pero puede ser educativo ...
Leer Más
La universidad hace impresiones en 3D a prueba de balas

La universidad hace impresiones en 3D a prueba de balas

Los investigadores de la Universidad de Rice están estudiando las estructuras plásticas de impresión en 3D que imitan a los ...
Leer Más
Jonas Salk, virólogo y vanguardia de la vacunación

Jonas Salk, virólogo y vanguardia de la vacunación

A principios de la década de 1950, lo único que daba más miedo que la amenaza de una guerra nuclear ...
Leer Más
Eso es todo, no más direcciones IPV4 europeas

Eso es todo, no más direcciones IPV4 europeas

¿Cuándo fue la primera vez que escuchó la preocupación expresada sobre la perspectiva de un crecimiento explosivo de Internet que ...
Leer Más
Ingeniería inversa de una pantalla de bus antiguo

Ingeniería inversa de una pantalla de bus antiguo

Cuando se le regaló a su makerspace un par de letreros LED Luminator del tipo que se puede ver en ...
Leer Más
Hackaday Links: 15 de diciembre de 2019

Hackaday Links: 15 de diciembre de 2019

Cuando tienes razón, tienes razón. En enero, predijimos que los exoesqueletos estaban a punto de estallar como producto principal, y ...
Leer Más
Una bicicleta de época que da poder a Briggs y a Stratton

Una bicicleta de época que da poder a Briggs y a Stratton

eBay hizo popular el proceso de motorización de una bicicleta, con motores baratos de China combinados con un puñado de ...
Leer Más
IRENE va por ahí

IRENE va por ahí

Los equipos de lapso de tiempo son increíbles porque puedes darle sabor a tus vídeos con tomas de lapso de ...
Leer Más
Una piel electrónica autocurable y estirable

Una piel electrónica autocurable y estirable

En un reporte publicado por Science Advances , un equipo de investigación de los Estados Unidos y Corea reveló una ...
Leer Más
Todo su software de SDR en una práctica imagen de Raspberry Pi

Todo su software de SDR en una práctica imagen de Raspberry Pi

La revolución de la DEG ha traído una bonanza de oportunidades para la experimentación de los entusiastas de la radio, ...
Leer Más
Te veo en el lado oscuro de la luna: Observatorio de la Radio Lunar de China

Te veo en el lado oscuro de la luna: Observatorio de la Radio Lunar de China

Durante casi todo el tiempo que ha habido radio, ha habido antenas entrenadas en el cielo, mirando el universo de ...
Leer Más
Retrotecnológico: El Arte de la Fundición

Retrotecnológico: El Arte de la Fundición

Mencione el término "industria pesada" y lo primero que le vendrá a la mente podría ser la fundición de metales ...
Leer Más
La logística de la vacuna contra la gripe

La logística de la vacuna contra la gripe

¿Te has vacunado contra la gripe este año? ¿Y el año pasado? En un mundo de entrega al día siguiente ...
Leer Más

Deja un comentario