Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Приложение mIRC некорректно обрабатывает IRC-ссылки, что дает возможность запускать программы в ОС Windows.
Специалисты в области информационной безопасности Батист Девинь (Baptiste Devigne) и Бенджамин Четиуи (Benjamin Chetioui) опубликовали описание и PoC-эксплойт уязвимости в mIRC — распространенном IRC-клиенте для Windows.
Как выяснили исследователи, приложение допускает внедрение команд в передаваемые ссылки, что позволяет выполнить сторонний код на уязвимом устройстве. Разработчики залатали брешь в свежей версии программы, вышедшей 8 февраля.
Экспертов заинтересовала статья Zero Day Initiative об уязвимостях в программах, созданных на базе фреймворка Electron. Специалисты выяснили, что все они связаны с обработчиками идентификаторов URI, позволяющих создавать специализированные ссылки для выполнения материнского приложения с определенными параметрами. Аналитики решили выяснить, присутствуют ли подобные бреши в других разработках, применяющих этот механизм.
В своем отчете Девинь и Четиуи указывают, что для запуска программы и подключения ее к определенному серверу используются ссылки вида irc://, ircs:// и mircurl://, каждая из которых может содержать адрес и дополнительные параметры. Чтобы предотвратить инъекции вредоносного кода, некоторые IRC-клиенты используют специальные символы, отмечающие конец командной строки и начало списка аргументов. Например, в мессенджере Discord для этих целей служат два дефиса, однако в mIRC подобных ограничителей нет.
Используя этот недостаток, злоумышленник может создать собственный IRC-сервер, заставить жертву подключиться к нему через специальную ссылку и удаленно выполнить на целевом устройстве собственный код. В опубликованном PoC-эксплойте исследователи запускают на компьютере пользователя программу-калькулятор, однако такой сценарий атаки дает нападающим возможность загружать вредоносные файлы, устанавливать программы и выполнять другие действия.
Брешь, зарегистрированная как CVE-2019-6453, затрагивает все версии mIRC ниже 7.55, вышедшей в начале февраля. Эксплуатация бага зависит от браузера, через который открывается вредоносная ссылка, — эксперты отмечают, что в среде Chrome подобная атака невозможна. Они рекомендуют пользователям уязвимого клиента как можно скорее установить последний релиз программы, доступный на сайте разработчика.
Протокол IRC, созданный в 1988 году, в настоящее время нечасто используется для общения между пользователями, однако активно применяется для управления IoT-устройствами. Так, ботнет румынской группировки Outlaw контролируется при помощи команд в этом формате. Как выяснили ИБ-эксперты, клиент вредоносной сети написан на языке Perl и позволяет проводить DDoS-атаки, загружать файлы в целевые системы и выполнять поиск незащищенных портов.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |