Las vulnerabilidades de Zero-click son todas aquellas fallas que pueden ser utilizadas por actores maliciosos para ejecutar código arbitrariamente, en un dispositivo, sin requerir la interacción del usuario del dispositivo.
Recientemente el grupo de investigación Google a revalado detalles de varias vulnerabilidades Zero-Click en varios componentes de procesamiento multimedia en múltiples sistemas operativos (OS) de Apple.
Es muy posible que los investigadores de Google se enfocaron en los componentes de procesamiento multimedia, debido a que son uno de los más peligrosos ataques en cualquier sistema operativo, esto se debe en teoría, ha que todos los administradores de archivos trabajan de la misma forma. Donde cualquier archivo multimedia (imagen, audio, vídeo) que reciba un dispositivo, es automáticamente transferido a una librería local del sistema operativo encargada de analizar o procesar el archivo para saber qué puede hacer con él. Para un atacante, un error en el componente de procesado multimedia puede ser una oportunidad de oro para explotar alguna vulnerabilidad (Zero-Click) que no requiera interacción de la víctima.
El reporte del grupo de investigadores se enfocó en el framework “Image I/O”, utilizado por todos los sistemas operativos de Apple, como iOS, macOS, tvOS y watchOS, con la tarea de analizar y procesar los archivos de imagen que sean recibidos por el dispositivo.
El equipo de google ha utilizado una técnica llamada Fuzzing para encontrar las vulnerabilidades, la cual consistió en proporcionar datos no válidos, inesperados o aleatorio dirigidos hacia "Image I/O", monitorearlo para detectar fallas o debilidades. Destacaron, que no pudieron utilizar herramientas de Fuzzing estándar, por motivo a que el objetivo no era un código abierto.
Al realizar las pruebas lograron identificar seis vulnerabilidades en Image I/O, de las cuales una no tiene CVE, identificadas:.
- P0 Issue 1952
- CVE-2020-3826/P0 Issue 1953
- CVE-2020-3827/P0 Issue 1956
- CVE-2020-3878/P0 Issue 1974
- CVE-2020-3878/P0 Issue 1984
- CVE-2020-3880/P0 Issue 1988
Así como ocho en la librería de código abierto para analizar archivos de imagen EXR “OpenEXR”.
Google destacó que algunas de las vulnerabilidades encontradas puedan utilizarse para explotarse para ejecutar código de forma remota (RCE) en un escenario de 0 clicks. Pero que no indagaron a profundidad, ya que ese no es el propósito de su trabajo.
La buena noticia es que estos problemas fueron reportados a Apple a su debido tiempo y fueron parcheados a lo largo de los meses por medio de actualizaciones, donde la actualización de seguridad para las seis vulnerabilidades de Image I/O fueron lanzadas en Enero y las ocho de OpenEXR en abril en la versión 2.4.1.
Fuente:
https://googleprojectzero.blogspot.com/2020/04/fuzzing-imageio.html
COMENTARIOS