Vulnerabilidad de riesgo alto en Facebook Messenger para Windows

Recientemente fue descubierta una vulnerabilidad de alto riesgo que afecta a la aplicación de escritorio de Facebook Messenger en la versión 460.16, para sistemas operativos Windows, disponible en la tienda en línea de Microsoft.

La explotación exitosa permitiría a un atacante ejecutar archivos maliciosos ya presentes en un sistema comprometido, logrando que el malware obtenga persistencia y un acceso extendido al sistema.

Detalles Técnicos:

La vulnerabilidad reside en la llamada del cliente de Facebook Messenger a Windows Powershell en la ruta C:\python27, la cual corresponde a un directorio creado por el instalador del intérprete de Python y que no suele existir en la mayoría de los equipos. Este directorio no necesita de permisos de administrador para modificar o agregar archivos, lo cual podría permitir a un programa malicioso acceder al mismo sin privilegios de administrador.Con esto un atacante podría intervenir la llamada del cliente para acceder a dicha ruta sin permisos de administrador e intentar cargar recursos no existentes, para ejecutar malware en el sistema víctima sin levantar sospecha alguna durante el inicio de la aplicación.

En la imagen pueden ser visualizadas todas las llamadas realizadas por Facebook Messenger al iniciarse con sus respectivas rutas, incluyendo al directorio vulnerable C:\python27.

Como una prueba de concepto fue realizada la explotación de esta vulnerabilidad disfrazando una reverse shell como un archivo Powershell.exe, en el directorio de Python. Seguidamente, se ejecutó la aplicación de Facebook Messenger donde se realiza la llamada al directorio vulnerable, logrando así la ejecución exitosa de la reverse shell, dando lugar a otros posibles ataques en el sistema vulnerable.

Además, un atacante con el fin de obtener acceso activo al sistema, podría emplear métodos de persistencia en las claves de registrotareas programadas y servicios del sistema.

Recomendaciones:

  • En caso de que tengas instalado el cliente de Facebook Messenger para Windows, actualiza a la última versión disponible desde la Tienda en línea de Microsoft La versión que resuelva esta vulnerabilidad en particular es la 480.5.
  • Instala programas antivirus/firewall.
  • En caso de sospechas de infección con el malware,
    • Desconecta el equipo de internet,
    • Realiza un análisis completo del sistema con un antivirus,
    • Cambia las contraseñas de los correos electrónicos, cuentas personales y cualquier servicio/sistema que requiera autenticación.

Referencias:

Compartir: