Dropbox
Uma vulnerabilidade de injeção de sequestro de DLL e execução de código foi encontrada na solução de armazenamento em nuvem: Dropbox. A vulnerabilidade foi encontrada pela primeira vez no início desta semana, depois que foi descoberto que afetava a versão 54.5.90 do Dropbox. Desde então, a vulnerabilidade tem sido explorada e pesquisada, agora chegando à linha de frente das informações para que os usuários tenham cuidado.
De acordo com os detalhes da exploração publicados pelo ZwX Security Researcher, a vulnerabilidade é encontrada no DropBox para Windows, na versão 54.5.90 do aplicativo, conforme declarado anteriormente. A vulnerabilidade vem de lacunas e discrepâncias em 4 bibliotecas específicas. Essas bibliotecas são: cryptbase.dll, CRYPTSP.dll, msimg32.dll e netapi32.dll. As vulnerabilidades surgem da margem de manobra dessas bibliotecas e voltam a impactar e causar o mau funcionamento dessas mesmas bibliotecas também, resultando em um retrocesso geral do serviço de nuvem Dropbox.
A vulnerabilidade pode ser explorada remotamente. Ele permite que um invasor mal-intencionado não autenticado explore a vulnerabilidade de carregamento de DLL, modificando as chamadas DLL em questão, de forma que um arquivo DLL criado com códigos maliciosos seja aberto por engano com permissões elevadas (conforme concedido para arquivos DLL do sistema). Um usuário cujo dispositivo está passando por essa exploração não perceberá até que o processo seja explorado para injetar malware no sistema. A injeção e a execução da DLL são executadas em segundo plano, sem exigir nenhuma entrada do usuário para executar seu código arbitrário.
Para reproduzir a vulnerabilidade, a prova de conceito segue que primeiro um arquivo DLL malicioso deve ser colocado junto e então renomeado para se parecer com um arquivo DLL tradicional do Dropbox que o serviço normalmente chamaria no sistema. Em seguida, esse arquivo deve ser copiado para a pasta Dropbox na unidade do Windows C em Arquivos de programas. Assim que o Dropbox for iniciado neste contexto, ele chamará um arquivo DLL do homônimo manipulado e, uma vez que o arquivo malicioso seja executado em seu lugar pela confusão do título, o código na DLL criada será executado, permitindo que um atacante remoto acesse o sistema para baixar e disseminar malware.
Para lidar com tudo isso, infelizmente, não há etapas de mitigação, técnicas ou atualizações publicadas pelo fornecedor ainda, mas uma atualização pode ser esperada em breve devido à severidade de grau crítico do risco de tal exploração.
Tag Dropbox
