Clicky

Un error en Facebook Messenger para Windows podría haber ayudado a que el malware ganara persistencia

Facebook Messenger

La vulnerabilidad se ha corregido en la versión 480.5

Investigadores de seguridad cibernética en Reason Labs, el brazo de investigación de amenazas del proveedor de soluciones de seguridad Reason Cybersecurity, revelaron ayer detalles de una vulnerabilidad que descubrieron recientemente en la aplicación Facebook Messenger para Windows.

La vulnerabilidad, que reside en Messenger versión 460.16, podría permitir a los atacantes aprovechar la aplicación para ejecutar potencialmente archivos maliciosos ya presentes en un sistema comprometido en un intento de ayudar al malware a obtener acceso persistente/extendido.

Reason Labs compartió sus hallazgos con Facebook en abril, después de lo cual la compañía de redes sociales rápidamente corrigió la falla con el lanzamiento de una versión actualizada de Facebook Messenger para usuarios de Windows a través de la tienda de Microsoft.

carpeta Python

Según los investigadores, la aplicación vulnerable activa una llamada para cargar Windows Powershell desde la ruta C:\python27. Esta ruta generalmente se crea al instalar la versión 2.7 de Python y no existe comúnmente en la mayoría de las instalaciones de Windows.

Los atacantes pueden secuestrar esas llamadas que intentan cargar recursos potencialmente inexistentes para ejecutar malware de forma encubierta. Además, dado que el directorio objetivo también se encuentra en una ubicación de baja integridad, los programas maliciosos podrían acceder a la ruta sin privilegios de administrador.

Para probar si la falla es explotable, el equipo creó un shell inverso disfrazado de Powershell.exe y lo implementó en el directorio de Python. Luego ejecutaron la aplicación Messenger, que activó la llamada, ejecutando con éxito el shell inverso, lo que demuestra que los actores maliciosos pueden explotar la falla para ataques persistentes.

Convencionalmente, los atacantes que emplean métodos de persistencia dependen de claves de registro, tareas programadas y servicios para mantener el acceso activo a un sistema. Este tipo particular de vulnerabilidad se considera más complejo de explotar.

Los atacantes deben observar si una aplicación está haciendo una llamada no deseada o profundizar en el código binario de una aplicación para encontrar una función que realice dicha llamada.

test Reason

La vulnerabilidad se ha corregido en la versión 480.5, que es la versión más reciente que probó Reason. Los usuarios que ejecutan la versión defectuosa deben actualizar a la última versión.

Si bien no ha habido indicios de que la falla haya sido explotada antes del descubrimiento de Reason, tales vulnerabilidades son altamente riesgosas.

Los actores maliciosos pueden usar tales defectos para mantener el acceso a los dispositivos durante períodos prolongados. Dicho acceso persistente puede permitirles realizar otros hacks, incluida la implantación de ransomware y la filtración e infiltración de datos.

Los grupos de amenazas también usan métodos persistentes para realizar ataques especializados dirigidos a instituciones financieras, oficinas gubernamentales y otras instalaciones industriales.

Además, la amenaza podría haberse extendido si se hubiera explotado la vulnerabilidad. Facebook Messenger tiene 1.300 millones de usuarios activos al mes. Si bien esta cifra representa a todos los usuarios en todos los dispositivos, muchos acceden al servicio a través de sus máquinas basadas en Windows.

Esto se vuelve aún más preocupante teniendo en cuenta que las aplicaciones de mensajería están teniendo un uso significativo durante la pandemia de coronavirus en curso. Debido a restricciones de viaje, confinamientos y arreglos forzados de trabajo desde el hogar, los usuarios dependen en gran medida de las aplicaciones de mensajería y las herramientas de videoconferencia para comunicarse y colaborar.

Messenger de Facebook se encuentra entre las aplicaciones de uso popular. En marzo, Facebook informó un aumento del 50 por ciento en los mensajes y un aumento del 1.000 por ciento en el tiempo en en las llamadas grupales con tres o más participantes.

Jesus_Caceres