Otra falla grave en Signal permite robar las conversaciones

18/05/2018

Por segunda ocasión en menos de una semana, usuarios de la popular aplicación de mensajería cifrada de punto-a-punto Signal, tienen que actualizar sus aplicaciones de escritorio una vez que ha sido arreglada otra vulnerabilidad grave de inyección de código.

Descubierta el lunes por el mismo equipo de investigadores en seguridad, la vulnerabilidad recientemente descubierta plantea la misma amenaza que la anterior, permitiendo a atacantes remotos inyectar código malicioso en la aplicación de escritorio Signal de los destinatarios, con solo enviarles un mensaje sin que se requiera cualquier interacción del usuario.

Para entender más acerca de la primera vulnerabilidad de inyección de código (CVE-2018-10994), puedes leer nuestro un anterior que abarca el cómo los investigadores encontraron la falla en Signal y cómo trabaja.

La única diferencia entre las dos es que la falla anterior reside en la función que maneja los enlaces compartidos en el chat, mientras que la nueva vulnerabilidad (CVE-2018-11101) existe en una función diferente que maneja la validación de los mensajes citados, por ejemplo, citando un mensaje anterior en una respuesta.

En otras palabras, para explotar el reciente bug en versiones vulnerables de la aplicación de escritorio Signal, todo lo que un atacante necesita hacer es enviar un código malicioso HTML/javascript como un mensaje a la víctima, y después citar/responder al mismo mensaje con cualquier texto.

Si la víctima recibe este mensaje que contiene la carga útil maliciosa en su aplicación de escritorio vulnerable Signal, automáticamente se ejecutará el la carga, sin requerir cualquier interacción del usuario.

Hasta ahora las cárgas útiles para prueba de concepto usada para demostrar las vulnerabilidades de inyección de código en la aplicación Signal fueron limitadas a embeber, un iFrame HTML, o tags de imagen/video/audio en la aplicación de escritorio de la víctima.

Sin embargo, investigadores han trabajado para elaborar un nuevo exploit PoC que pueda permitir a atacantes remotos robar exitosamente todas las conversaciones de Signal de las víctimas en texto plano con solo enviarles un mensaje.

Este hack literalmente acaba con el propósito de una aplicación de mensajería cifrada de extremo a extremo, permitiendo a los atacantes fácilmente obtener las conversaciones en texto plano que los usuarios mantienen sin romper el cifrado.

Los atacantes podrían robar también la contraseña de Windows

¿Que es peor?

En su publicación de blog, los investigadores también indicaron que un atacante podría incluso incluir archivos de un recurso compartido SMB remoto utilizando un iFrame HTML, que puede ser objeto de abuso para robar la contraseña hash NTLMv2 para usuarios de Windows.

"En el sistema operativo Windows, el CSP no puede evitar la inclusión remota de recursos a través del protocolo SMB. En este caso, la ejecución remota de JavaScript se puede lograr al hacer referencia al script en un recurso compartido SMB como origen de una etiqueta iframe, por ejemplo : <iframe src = \\ DESKTOP-XXXXX \ Temp \ test.html> y luego responder a él ", explican los investigadores.

Aunque no han afirmado nada sobre esta forma de ataque, se supone que, si un atacante puede explotar la inyección de código para obligar al sistema operativo Windows a iniciar una autenticación automática con el servidor SMB controlado por atacante mediante el inicio de sesión único, eventualmente entregaría el nombre de usuario de la víctima y la contraseña de hash NTLMv2 para los atacantes, lo que les permite acceder al sistema de la víctima.

Hemos visto cómo la misma técnica de ataque fue explotada recientemente utilizando una vulnerabilidad en Microsoft Outlook, divulgada el mes pasado.

Los investigadores Iván Ariel Barrera Oro, Alfredo Ortega, Juliano Rizzo y Matt Bryant informaron responsablemente de la vulnerabilidad a Signal, y sus desarrolladores corrigieron la vulnerabilidad con el lanzamiento de Signal desktop versión 1.11.0 para usuarios de Windows, macOS y Linux.

Sin embargo, The Hacker News se enteró de que los desarrolladores de Signal ya habían identificado este problema como parte de una solución integral a la primera vulnerabilidad antes de que los investigadores la encontraran y la informaran.

La aplicación Signal tiene un mecanismo de actualización automática, por lo que la mayoría de los usuarios deben tener la actualización ya instalada. Puede leer esta guía para asegurarse de que está ejecutando la versión actualizada de Signal.

Y si no lo hace, debe actualizar inmediatamente su aplicación de escritorio Signal lo antes posible, ya que ahora la vulnerabilidad representa un grave riesgo de que sus conversaciones secretas queden expuestas en texto plano a los atacantes y otras consecuencias graves.

Artículos relacionados: