Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zdalne wykonanie kodu przez obrazek TIFF
Firma BlackBerry, czyli znany producent smartfonów, tabletów oraz rozmaitych rozwiązań telekomunikacyjnych, ostrzegła niedawno użytkowników oprogramowania BlackBerry Enterprise Server przed obecną w nim podatnością na zdalne wykonanie kodu za pomocą specjalnie spreparowanego… obrazka. Powyższe oprogramowanie jest z pewnością wykorzystywane przez wiele firm, w tym przez duże korporacje, a jak się okazuje sama podatność może zostać w bardzo prosty sposób wykorzystana. Spójrzmy na kilka interesujących szczegółów.
BlackBerry Enterprise Server to oprogramowanie mające zapewniać scentralizowaną kontrolę nad wszystkimi urządzeniami BlackBerry w całej organizacji i jednocześnie integrujące mobilną firmową komunikację (e-maile, wiadomości błyskawiczne, strony internetowe). Bardzo poważna luka została odkryta w kodzie (image.dll) odpowiedzialnym za przetwarzanie plików TIFF. Zgodnie z opublikowanym artykułem KB33425:
Vulnerabilities exist in how the BlackBerry MDS Connection Service and the BlackBerry Messaging Agent process TIFF images for rendering on the BlackBerry smartphone.
Successful exploitation of any of these vulnerabilities might allow an attacker to gain access to and execute code on the BlackBerry Enterprise Server.
Depending on the privileges available to the configured BlackBerry Enterprise Server service account, the attacker might also be able to extend access to other non-segmented parts of the network.
W praktyce wystarczy tylko utworzyć odpowiednio spreparowany plik TIFF i w jakikolwiek sposób (e-mailem, wiadomością błyskawiczną lub poprzez stronę internetową) dostarczyć go jednemu z firmowych użytkowników smartfona, by na serwerze BlackBerry Enterprise Server wykonać dowolny kod. Co ciekawe, do wykonania skutecznego ataku nie jest nawet wymagane otwarcie złośliwego e-maila przez końcowego użytkownika, wystarczy sam fakt jego przesłania do podatnej infrastruktury BlackBerry. Wartko podkreślić, że luka nie dotyczy samych smartfonów, a jedynie centralnego serwerowego oprogramowania.
Biorąc pod uwagę tego typu podatności, trudno się dziwić, że nawet organizacje bardzo zatroskane o własne bezpieczeństwo informatyczne, nie są w stanie obronić się przed skutecznymi atakami. Powyższy przykład stanowi dla potencjalnego intruza idealną lukę do wykorzystania w atakach ukierunkowanych na konkretne cele. Dlatego użytkownikom oprogramowania zalecamy jak najszybsze zainstalowanie dostępnej już poprawki BlackBerry Enterprise Server 5.0.4 MR2.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
Do blokady wywołania kodu wystarczy używać czegokolwiek z monitorowaniem uruchamiania aplikacji (Behavior Blocking).
Np. jeśli jakiś aplet javy chce odpalić exe to najpierw powinno być zapytanie czy odpalić exe.
To samo dotyczy błędów w plikach pdf, swf, ani, jpg, tiff i whatever.
Problem już został rozwiązany. Niestety mało kto stosuje to rozwiązanie i mamy dookoła siebie pełno kompów zombie.