Dropbox
Se ha encontrado una vulnerabilidad de ejecución de código e inyección de secuestro de DLL en la solución de almacenamiento basada en la nube: Dropbox. La vulnerabilidad se detectó por primera vez a principios de esta semana después de que se descubriera que afectaba a la versión 54.5.90 de Dropbox. Desde entonces, la vulnerabilidad ha sido explorada e investigada, y ahora llega a la primera línea de información para que los usuarios tengan cuidado.
Según los detalles del exploit publicados por ZwX Security Researcher, se encuentra que la vulnerabilidad existe en DropBox para Windows, en la versión 54.5.90 de la aplicación, como se indicó anteriormente. La vulnerabilidad proviene de lagunas y discrepancias en 4 bibliotecas particulares. Estas bibliotecas son: cryptbase.dll, CRYPTSP.dll, msimg32.dll y netapi32.dll. Las vulnerabilidades surgen del margen de maniobra en estas bibliotecas y vuelven a afectar y causar el mal funcionamiento de estas mismas bibliotecas también, lo que resulta en un tirón general hacia atrás del servicio en la nube de Dropbox.
La vulnerabilidad se puede explotar de forma remota. Permite que un atacante malintencionado no autenticado aproveche la vulnerabilidad de carga de DLL modificando las llamadas de DLL en cuestión para que un archivo DLL creado con fines malintencionados se abra por error con permisos elevados (como se otorga para los archivos DLL del sistema). Un usuario cuyo dispositivo sufre esta vulnerabilidad no se dará cuenta hasta que el proceso haya sido aprovechado para inyectar malware en el sistema. La inyección y ejecución de DLL se ejecuta en segundo plano sin necesidad de que el usuario realice ninguna entrada para ejecutar su código arbitrario.
Para reproducir la vulnerabilidad, la prueba de concepto sigue que primero se debe armar un archivo DLL malicioso y luego cambiarle el nombre para que se vea como un archivo DLL de Dropbox tradicional al que el servicio normalmente recurriría en el sistema. A continuación, este archivo debe copiarse en la carpeta de Dropbox en la unidad C de Windows en Archivos de programa. Una vez que Dropbox se inicia en este contexto, recurrirá a un archivo DLL del mismo nombre manipulado y una vez que el archivo malicioso se ejecute en su lugar por confusión de título, se ejecutará el código en el DLL diseñado, permitiendo que un atacante remoto acceda al sistema para seguir descargando y difundiendo malware.
Para hacer frente a todo esto, desafortunadamente, tampoco existen pasos de mitigación, técnicas o actualizaciones publicadas por el proveedor, pero se puede esperar una actualización muy pronto debido a la gravedad de grado crítico del riesgo de tal exploit.
Etiquetas dropbox
