Individuate vulnerabilità di esecuzione di codice con 1 clic in numerose app desktop popolari tra cui Telegram, Nextcloud, VLC, Libre-/OpenOffice, Bitcoin/Dogecoin Wallets, Wireshark e Mumble. Gli hacker possono avviare l’esecuzione di codice tramite una semplice URL e con un solo click del mouse sul collegamento sbagliato installare il malware.
Le falle di sicurezza sono state individuate dagli esperti di Positive Security i quali hanno esplorato la gestione degli URL che gestiscono il comportamento del sistema operativo e le vulnerabilità delle applicazioni e individuato le vulnerabilità in 11 applicazioni desktop.
Il problema risiede nelle modalità di interazione tra queste applicazioni e il sistema operativo che porterebbe alla mancata validazione dell’input quando viene sottoposto sotto forma di un’URL; la causa principale è la convalida insufficiente dell’input dell’utente che viene successivamente trattato come un URL e aperto con l’aiuto del sistema operativo.
La funzione utilizzata è la stessa che consente di aprire automaticamente il client di posta elettronica quando si clicca su un link del tipo “mailto:”. In pratica, è possibile fare in modo che il sistema operativo avvii un’applicazione specifica e apra automaticamente il file indicato nell’URL stessa.
La tecnica di attacco è ben conosciuta e in tutti i browser determinati collegamenti (come quelli file://) vengono automaticamente bloccati. Tuttavia, in molte applicazioni ciò non avviene.
Le conseguenze si traducono nella possibilità per un cyber criminale di poter avviare l’installazione di un malware in remoto sfruttando un semplice link diretto all’applicazione vulnerabile.
Le falle di sicurezza sono cross-platform e interessano Windows, macOS e varie distro di Linux.
Sebbene la maggior parte dei problemi sia stata risolta rapidamente dagli sviluppatori, le seguenti applicazioni sono ancora vulnerabili: Client desktop Bitcoin (e Bitcoin Gold), LibreOffice, OpenOffice e VLC.
“I problemi erano facili da trovare e abbiamo avuto un alto tasso di successo durante il controllo delle applicazioni per questa vulnerabilità. Pertanto, ci aspettiamo che vengano scoperte più vulnerabilità di questo tipo quando si esaminano altre applicazioni o framework dell’interfaccia utente”, conclude Positive Security.
https://positive.security/blog/url-open-rce
https://www.securityinfo.it/2021/04/16/open-office-telegram-vlc-il-malware-arriva-con-un-click/
