Investigadores de Checkpoint descubrieron que los ciberdelincuentes pueden abusar de uno de los software más implementados a nivel mundial, las bases de datos de SQLite, con el propósito de ejecutar código malicioso en otras aplicaciones. Los expertos presentaron esta técnica de ataque en la conferencia de seguridad DEF CON 27 en Las Vegas, evento en el cual Arkavia Networks estuvo presente.
Realizando una consulta a una base de datos SQLite maliciosa puede conducir a la ejecución remota de código. Se ha utilizado un comportamiento indocumentado de SQLite3 junto con vulnerabilidades de corrupción de memoria. Los expertos crearon una base de datos SQLite con fines maliciosos que explota el motor o software. Demostrando que los problemas de corrupción de memoria en SQLite se llevan a cabo utilizando el mismo lenguaje SQL, ideando técnicas de secuestro de consultas y programación orientada a consultas. El investigador; planteó dos escenarios, en el primero obtener acceso a un servidor C2 (Comando y Control) de un ladrón de contraseñas, y en la segunda, lograr persistencia en iOS con privilegios root.
A través de las vulnerabilidades de los ataques de apalancamiento en el proceso de implementación de aplicaciones de terceros para poder acceder y leer las bases de datos de SQLite. Los expertos pudieron almacenar código malicioso en las bases de datos utilizadas por aplicaciones de terceros, luego, una vez que las aplicaciones tienen acceso, se ejecuta el código malicioso que contiene.
En el evento se demostró por medio de una PoC a través de una base de datos SQLite de iMessage (Apple). Un atacante podría reemplazar o editar el archivo "AddressBook.sqlitedb" inyectando un malware dentro de la libreta de direcciones de un iPhone, y luego cuando iMessage consultará este archivo SQLite, active la ejecución del código malicioso y permitirá que el malware gane persistencia en el dispositivo.
El investigador explicó que Apple no firma archivos de datos SQLite, lo que hace posible reemplazar fácilmente el archivo y permitir a los atacantes obtener persistencia tanto en teléfonos iPhone como en dispositivos con Mac OS.
Los hallazgos fueron comunicados a Apple, y fueron asignados a los siguientes identificadores: CVE: CVE-2019-8600, CVE-2019-8598, CVE-2019-8602, CVE-2019-8577.
Dentro de las principales aplicaciones que dependen de SQLite se incluyen Skype, todos los navegadores web, dispositivos Android, instalaciones de iTunes, clientes de Dropbox, sistemas multimedia para automóviles, televisores, decodificadores de cable, y un sin fin de otras aplicaciones.
REFERENCIA
COMENTARIOS