SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Баг в mIRC позволяет выполнить в Windows сторонний код

21 февраля 2019 г., четверг, 14:03

Приложение mIRC некорректно обрабатывает IRC-ссылки, что дает возможность запускать программы в ОС Windows.

Специалисты в области информационной безопасности Батист Девинь (Baptiste Devigne) и Бенджамин Четиуи (Benjamin Chetioui) опубликовали описание и PoC-эксплойт уязвимости в mIRC — распространенном IRC-клиенте для Windows.

Как выяснили исследователи, приложение допускает внедрение команд в передаваемые ссылки, что позволяет выполнить сторонний код на уязвимом устройстве. Разработчики залатали брешь в свежей версии программы, вышедшей 8 февраля.

Экспертов заинтересовала статья Zero Day Initiative об уязвимостях в программах, созданных на базе фреймворка Electron. Специалисты выяснили, что все они связаны с обработчиками идентификаторов URI, позволяющих создавать специализированные ссылки для выполнения материнского приложения с определенными параметрами. Аналитики решили выяснить, присутствуют ли подобные бреши в других разработках, применяющих этот механизм.

В своем отчете Девинь и Четиуи указывают, что для запуска программы и подключения ее к определенному серверу используются ссылки вида irc://, ircs:// и mircurl://, каждая из которых может содержать адрес и дополнительные параметры. Чтобы предотвратить инъекции вредоносного кода, некоторые IRC-клиенты используют специальные символы, отмечающие конец командной строки и начало списка аргументов. Например, в мессенджере Discord для этих целей служат два дефиса, однако в mIRC подобных ограничителей нет.

Используя этот недостаток, злоумышленник может создать собственный IRC-сервер, заставить жертву подключиться к нему через специальную ссылку и удаленно выполнить на целевом устройстве собственный код. В опубликованном PoC-эксплойте исследователи запускают на компьютере пользователя программу-калькулятор, однако такой сценарий атаки дает нападающим возможность загружать вредоносные файлы, устанавливать программы и выполнять другие действия.

Брешь, зарегистрированная как CVE-2019-6453, затрагивает все версии mIRC ниже 7.55, вышедшей в начале февраля. Эксплуатация бага зависит от браузера, через который открывается вредоносная ссылка, — эксперты отмечают, что в среде Chrome подобная атака невозможна. Они рекомендуют пользователям уязвимого клиента как можно скорее установить последний релиз программы, доступный на сайте разработчика.

Протокол IRC, созданный в 1988 году, в настоящее время нечасто используется для общения между пользователями, однако активно применяется для управления IoT-устройствами. Так, ботнет румынской группировки Outlaw контролируется при помощи команд в этом формате. Как выяснили ИБ-эксперты, клиент вредоносной сети написан на языке Perl и позволяет проводить DDoS-атаки, загружать файлы в целевые системы и выполнять поиск незащищенных портов.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.072
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.