0
0
A equipe do Stremio publicou uma postagem no blog dizendo que recebeu um relatório da CyFox, mas que não o considerou válido e decidiu não respondê-lo.
Nosso ponto de vista: este não é um problema de segurança do Stremio, é mais um problema de segurança do Windows e, da maneira como o exploit é usado, ele também pode ser usado na maioria dos aplicativos do Windows, não apenas no Stremio.
Os pesquisadores da CyFox descobriram uma vulnerabilidade de implantação/sequestro de DLL no popular aplicativo de centro de mídia Stremio, que pode ser explorada por invasores para executar código no sistema da vítima, roubar informações e muito mais.
Sobre a vulnerabilidade
DLLs (bibliotecas de vínculo dinâmico) são arquivos que podem ser vinculados dinamicamente e compartilhados por vários programas simultaneamente e são cruciais para o Windows e muitos aplicativos (incluindo o Stremio).
“Eles abrigam funções padrão compartilhadas por vários aplicativos, evitando a duplicação de código e reduzindo o tamanho do arquivo executável. Além disso, as DLLs concedem acesso a recursos do sistema, como dispositivos de mergulho, processamento gráfico e rede. Essa abordagem modular otimiza o gerenciamento de memória carregando DLLs na memória quando necessário, minimizando o consumo de memória dos aplicativos em execução”, explicaram os pesquisadores da CyFox .
As DLLs fornecem grande parte da funcionalidade do Windows. Quando um usuário executa um programa no Windows, o programa procura e usa as DLLs que precisa executar conforme pretendido.
A vulnerabilidade descoberta pelos pesquisadores afeta o Stremio for Windows v4.4.
Ele surge do uso de duas funções da API do Windows, LoadLibraryA e LoadLibraryExA. O último permite que os invasores plantem DLLs maliciosas no diretório do aplicativo.
Eles também identificaram quatro arquivos DLL vulneráveis: SspiCli.dll , RTWorkQ.dll , profapi.dll e UMPDC.dll .
Eles usaram o Msfvenom para produzir um arquivo .dll malicioso que cria um shell reverso e, quando o transferiram com sucesso para o alvo remoto, renomearam-no para UMPDC.dll e o colocaram dentro do diretório C:\Users\%username%\Local \Programas\LNV\Stremio-4\ caminho .
Efetivamente, se um invasor souber que uma versão vulnerável do Stremio está instalada no sistema, ele poderá programar um arquivo DLL que obterá acesso não autorizado sempre que o sistema for ligado. E se o usuário executar o software Stremio com direitos de administrador, o invasor poderá obter os mesmos direitos do usuário.
Possíveis ataques
Nir Yehoshua, pesquisador-chefe e líder de equipe da CyFox, diz que, para explorar essa vulnerabilidade de implantação/sequestro de DLL, um invasor precisa primeiro obter acesso não autorizado ao sistema da vítima para que possa transferir o arquivo DLL malicioso para o caminho do software e, em seguida, aguardar o usuário para executar o software vulnerável.
“As vulnerabilidades de sequestro de DLL apresentam um risco significativo, pois permitem que os invasores executem código arbitrário com os privilégios do aplicativo de destino ou até mesmo aumentem seus privilégios no sistema”, acrescentaram os pesquisadores da CyFox.
O sequestro de DLL também pode ser aproveitado para roubar informações confidenciais e obter um comprometimento mais amplo do sistema e executar movimentos laterais, observaram.
Yehoshua disse à Help Net Security que a CyFox tentou entrar em contato com a equipe de segurança do Stremio para compartilhar sua descoberta, mas eles não responderam.
“É importante notar que eles tentaram alcançá-los três vezes. A falta de resposta significa que o fornecedor não lançou uma atualização de segurança que resolva o problema. Como o fornecedor não respondeu às tentativas de comunicação da CyFox e já se passaram 90 dias desde o envio do primeiro e-mail, a CyFox pode publicar suas descobertas.”
FONTE: HELP NET SECURITY