El ataque de Amazon Kindle RCE comienza con un correo electrónico - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El ataque de Amazon Kindle RCE comienza con un correo electrónico

Hola y mil gracias por leerme. En el teclado Eduardo Arroyo y en esta ocasión vamos a hablar sobre El ataque de Amazon Kindle RCE comienza con un correo electrónico

El ataque de Amazon Kindle RCE comienza con un correo electrónico

El ataque «KindleDrip» supuestamente permitió a los atacantes robar dinero de víctimas desprevenidas.

Tres vulnerabilidades en el lector electrónico Kindle de Amazon habrían permitido a un atacante remoto ejecutar código y ejecutarlo como root, allanando el camino para desviar dinero de usuarios desprevenidos.

Yogev Bar-On, un investigador de Realmode Labs, descubrió que era posible enviar libros electrónicos maliciosos a dispositivos a través de la función «Enviar a Kindle» para iniciar una cadena de ataques, un descubrimiento que le valió $ 18,000 por el error de Amazon. programa de tamaño.

«La primera vulnerabilidad permitió a un atacante enviar un libro electrónico al dispositivo Kindle de la víctima», explicó en un Publicación del jueves. “Entonces, la segunda vulnerabilidad se utilizó para ejecutar código arbitrario durante el análisis del libro electrónico, en el contexto de un usuario débil. La tercera vulnerabilidad permite al atacante aumentar los privilegios y ejecutar código como root «.

Para que el ataque funcione (que el investigador llama KindleDrip), un atacante primero necesitaría saber la dirección de correo electrónico asignada al dispositivo de la víctima. También hay una lista predefinida de correos electrónicos aprobados desde los que se deben enviar libros electrónicos. Según Bar-On, ninguno de los requisitos es un obstáculo importante.

La dirección de correo electrónico de destino especial asignada por Amazon suele ser solo el correo electrónico normal del usuario bajo el dominio kindle.com (por ejemplo, nombre@gmail.com se convierte en nombre@kindle.com), que «se puede forzar», ha explicado.

Y en cuanto a la lista de direcciones aprobadas, la suplantación de identidad puede solucionar fácilmente este problema. «La autenticación de correo electrónico aún no está tan extendida como podría pensarse», escribió. «Dado que muchos servidores de correo electrónico aún no admiten la autenticación, no es descabellado suponer que Amazon no verificará la autenticidad del remitente». Y de hecho, pudo falsificar un mensaje de correo electrónico para enviar un libro electrónico a su dispositivo.

Con correos electrónicos ordenados, el primer paso en un ataque KindleDrip es enviar un libro electrónico malicioso a un objetivo. El archivo se envía como un archivo adjunto y aparece automáticamente en la biblioteca de un usuario. Sin embargo, la víctima no recibe una advertencia de que se ha instalado algo nuevo en la biblioteca.

«Para empeorar las cosas, no hay indicios de que el libro electrónico se haya recibido de un mensaje de correo electrónico», dijo Bar-On. «También apareció en la página de inicio de Kindle con una imagen de portada de nuestra elección, lo que facilita mucho los ataques de phishing».

Luego, la víctima ingresa al libro de apariencia inocente y toca uno de los enlaces en el resumen. El enlace abre el navegador incrustado con una página HTML que contiene una imagen JPEG XR maliciosa.

La imagen se analiza y el código malicioso ahora se ejecuta como root. La carga útil cambia el fondo de arranque y reinicia el dispositivo. Luego, el atacante recibe las credenciales privadas del dispositivo y puede acceder a la cuenta de la víctima.

Para atrapar el libro electrónico con código malicioso, el investigador descubrió que el navegador web Kindle admite el uso de un formato de imagen poco conocido llamado JPEG XR. Convenientemente, el propio Kindle tiene una biblioteca de firmware llamada libjpegXR.so, que analiza JPEG XR.

Descubrió que era posible desencadenar un desbordamiento del búfer al analizar JPEG XR con el Kindle, con bytes controlados desde un archivo de imagen JPEG XR.

Inmediatamente después del búfer desbordado, hay un puntero struct jxr_tile_qp * tile_quant. Bar-On descubrió que mediante el uso de desbordamiento, el puntero podría sobrescribirse para poder escribir datos en una dirección controlada por un atacante, lo que se conoce como una primitiva de escritura absoluta.

«Usando la primitiva de escritura absoluta, es posible escribir un código shell en la sección ejecutable», explicó. “Entonces, la primitiva podría usarse nuevamente para ‘rociar’ la Tabla de Desplazamiento Global (GOT) con la dirección del código de shell. El proceso de mezquite tiene varios subprocesos, por lo que uno de los otros subprocesos inevitablemente llamaría a una función del GOT, lo que haría que se ejecutara el código de shell. «

Con el código ejecutado, el tercer paso del ataque es la escalada de privilegios.

«El proceso de mezquite se ejecuta en chroot con un usuario débil llamado framework», escribió. “Así que la vulnerabilidad anterior ni siquiera se pudo utilizar para reiniciar el dispositivo. Se necesitaba una escalada de privilegios. «

Buscando procesos raíz que escuchan en un socket local, descubrió algo llamado stackdumpd.

«Este proceso es responsable de generar volcados de pila de procesos bloqueados», dijo. “Recibe información como la identificación del proceso que falla y la identificación del hilo y la pasa a / usr / bin / dump-stack. Este es un script de shell que se conecta al proceso de bloqueo con GDB … y, como sugiere el nombre, descarga la pila «.

GDB es un depurador remoto. Descubrió que puede ejecutar comandos arbitrarios dados en el argumento del comando y, por lo tanto, podría usarse para ejecutar código arbitrario como raíz. Hay dos controles de seguridad antes de que uno pueda hacer esto, que se puede evitar con una «cadena simple», explicó. «Por lo tanto, teníamos una vulnerabilidad que nos permitía ejecutar código arbitrario en el contexto del usuario root».

Los tres problemas encadenados le permiten rootear RCE en un Kindle vulnerable, como se muestra en un video de prueba:

Armado con este ataque, un actor de amenazas puede navegar por las sesiones web de los usuarios, robar credenciales o, lo que es más preocupante, robarle dinero a la víctima. Para robar dinero, el atacante podría publicar un libro electrónico y luego iniciar sesión en la cuenta de la víctima, utilizando la tarjeta de crédito almacenada para comprarlo.

El ataque funciona en Kindle con la versión de firmware 5.13.2 o inferior; Amazon corrigió KindleDrip en la última actualización, versión de firmware 5.13.4.

“Utilizando tres vulnerabilidades diferentes, pude ejecutar código arbitrario en el Kindle de Amazon como root, solo con la dirección de correo electrónico asignada al dispositivo”, dijo Bar-On. “Esto podría haber permitido a un atacante acceder a las credenciales del dispositivo y realizar compras en la Tienda Kindle. Esto también se puede haber utilizado para hacer jailbreak a dispositivos Kindle más nuevos. Amazon tomó la relación en serio y resolvió los problemas en un tiempo razonable «.

.

Deberías compartir en en tu Twitter y Facebook para que tus colegas lo consulten

??? ? ? ???

Comparte