Clique e receba as novidades quentinhas no Telegram

Falha no Facebook Messenger: o pesquisador da Reason Labs, Shai Alfasi, encontra o método de persistência no aplicativo de desktop do Facebook Messenger. A vulnerabilidade foi corrigida na nova versão do aplicativo de desktop do Facebook.

Vetor de persistência via aplicativo de desktop Facebook Messenger na loja Microsoft

O Covid-19 teve consequências de longo alcance, não apenas para a nossa saúde, mas também para nossas vidas sociais, pessoais e profissionais. Exigiu distanciamento físico e social, trabalho em casa e contato e comunicação principalmente por meio de aplicativos de bate-papo. Nós passamos mais de nossas vidas online do que nunca, resultando em um aumento acentuado no uso de aplicativos de bate-papo para dispositivos móveis e computadores, com alguns aplicativos observando um aumento de 40% desde o início da pandemia. Somente o Facebook relatou um aumento de 70% no tempo gasto em seus aplicativos desde a crise e um aumento de 50% nas mensagens.

Recentemente, os pesquisadores da Reason Labs descobriram um problema no aplicativo Facebook Messenger para Windows, disponível na Microsoft Store. O aplicativo executa o código que não deve ser executado, resultando em uma vulnerabilidade que permite que os invasores sequestrem uma chamada para um recurso dentro do código do Messenger para executar o malware. É também uma ameaça de persistência que fornece ao invasor acesso não detectado por um longo período de tempo. A vulnerabilidade era desconhecida até ser descoberta e identificada por uma revisão de segurança da Reason Labs. A versão do aplicativo Facebook Messenger para desktop, versão 460.16, não possui mais esse problema e foi substituída pela versão 480.5. Neste artigo, dissecamos e analisamos a vulnerabilidade.

O uso operacional da persistência

Na cadeia ofensiva de segurança cibernética, o uso de uma ameaça de persistência é uma das etapas mais importantes que um invasor precisa executar para garantir que ele não perca uma conexão com a estação de trabalho remota. A maioria dos métodos de persistência usados no Windows é bastante comum e bem conhecida, como chaves de registro, tarefas agendadas, serviços de inicialização automática e muito mais.

Para um pesquisador de segurança cibernética ou investigador forense, é muito fácil encontrar um agente mal-intencionado usando um método de persistência, pois a lógica comum de todos os malwares requer apenas três coisas:

  • O malware precisa se comunicar.
  • O malware precisa ser executado.
  • E o malware precisa permanecer oculto.

Uma ameaça de persistência de segundo estágio é mais complexa, já que os invasores tentam encontrar um binário que cause uma chamada indesejada para um processo ou uma DLL que não existe, para que possam sequestrar a chamada para executar um arquivo malicioso. Qualquer pessoa que já tenha inspecionado processos com o Procmon notará que muitos programas tentam carregar recursos que não existem. Há duas razões para isso:

  1. O recurso é opcional e realmente não existe.
  2. O programa não possui o caminho absoluto para o recurso e precisa percorrer a ordem de pesquisa.

Teste da falha no aplicativo desktop Facebook Messenger

Ao testar o novo aplicativo de desktop “Messenger”, a equipe de pesquisa da Reason encontrou uma chamada estranha para carregar o Powershell.exe no diretório Python27. Quando vimos isso, sabíamos que havia encontrado algo, pois o local do “Python27” está no diretório “c:\python27”, que é um local de baixa integridade. Isso significa que todo programa malicioso pode acessar o caminho sem privilégios de administrador.

Teste da falha no aplicativo desktop

Decidimos criar um shell reverso com o msfvenom e um ouvinte com o Metasploit como um POC. Depois que o shell reverso foi criado, ele foi transferido para o diretório c:\python27 e seu nome foi alterado para Powershell.exe para que pudéssemos sequestrar a chamada:

Falha no Facebook Messenger

Executamos nosso ouvinte na máquina atacante para que ela estivesse pronta para obter a conexão shell reversa da máquina vítima:

Falha no Facebook Messenger

Em seguida, executamos o aplicativo “Messenger” e obtivemos a conexão reversa do shell:

Falha no Facebook Messenger

Embora a vulnerabilidade descoberta pela Reason Labs tenha sido corrigida pelo Facebook, ainda precisamos continuar vigilantes e atentos ao potencial de vulnerabilidades em outras tecnologias online, como aplicativos de mensagens e vídeo conferência, ferramentas de trabalho remotas e muito mais.

Fonte: Blog reasonsecurity

O que você achou da falha no Facebook Messenger? Deixe seu comentário. Além disso, não se esqueça de entrar no nosso grupo do Telegram. É só clicar no ícone azul da rede social ao lado!