En sårbarhed i Facebook Messenger-applikationen til Windows blev netop opdaget af Reason Labs sikkerhedsforskere.
Sårbarheden er til stede i Messenger-version 460.16, og det kunne give angribere mulighed for at udnytte appen til at udføre ondsindede filer, der allerede findes på det målrettede system. Dette kan derefter hjælpe malware med at få vedvarende eller udvidet adgang til offerets system.
Den gode nyhed er, at Facebook allerede har rettet fejlen med frigivelsen af en opdateret version af applikationen via Microsoft-butikken.
Sårbarhed med Facebook Messenger-app
Ifølge forskerne, appen kører kode, der ikke skal udføres, hvilket fører til en sårbarhed, der giver angribere mulighed for at kapre et opkald til en ressource i Messenger-koden for at køre malware:
Ved at teste den nye "Messenger" desktop-applikation, forskerne stødte på et mærkeligt opkald om at indlæse Powershell.exe fra Python27-biblioteket. Når jeg bemærker det, de vidste, at de fandt noget, da placeringen af “Python27” er i ”c:\python27 ”-katalog, hvilket er en placering med lav integritet. Dette betyder, at ethvert ondsindet program kan få adgang til stien uden behov for administratorrettigheder.
Forskerne besluttede at oprette et omvendt shell med msfvenom og en lytter med Metasploit lige som en POC (proof-of-concept). Når det omvendte skal blev oprettet, det blev overført til c:\python27-biblioteket, og dets navn blev ændret til Powershell.exe, hvilket gjorde dem i stand til at kapre opkaldet.
Vi kørte vores lytter på angriberen, så det var klar til at få den omvendte skalforbindelse fra offermaskinen. Derefter udførte vi "Messenger" -programmet og fik den omvendte shell-forbindelse, siger Reason Labs-teamet rapporten.
Hvad der er værre er, at sårbarheden også beskrives som en "vedvarende trussel", der kan give angreb uopdaget adgang i en længere periode. Heldigvis, det er nu rettet.