• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Vulnerabilidad de ejecución remota de código en Electron

15/05/2018

=============================================
CVE-2018-1000136
Fecha de lanzamiento: 14/05/2018
Gravedad: Alta
=============================================

VULNERABILIDAD

Se ha publicado una vulnerabilidad presente en la herramienta de desarrollo multiplataforma Electron por la que se podrían modificar los privilegios del sistema.

INFORMACIÓN

Electron framewwork de código abierto creado y mantenido por GitHub. Permite el desarrollo de aplicaciones GUI de escritorio utilizando componentes frontend y backend desarrollados originalmente para aplicaciones web: tiempo de ejecución de Node.js para el back-end y Chromium para el frontend. Electron es el framework principal de GUI detrás de varios proyectos de código abierto notables incluyendo Atom de GitHub y editores de código fuente Visual Studio Code de Microsoft, la aplicación de escritorio de servicio de streaming de música Tidal y el IDE Light Table, además de el cliente de escritorio freeware para el servicio de chat de Discord.

DESCRIPCIÓN

La compañía de ciberseguridad TrustWave ha advertido sobre una vulnerabilidad presente en la herramienta de desarrollo multiplataforma Electron, que sirve como base a aplicaciones web como Slack o Skype, por la que se pueden modificar los privilegios del sistema.

Las aplicaciones de escritorio que se construyen mediante Electron emplean HTML, CSS y JavaScript. Adicionalmente, siempre que el desarrollador así lo requiera, puede entrar en juego Node.js para que la aplicación pueda acceder así a las partes de nivel inferior del sistema, incluso pudiendo ejecutar sus propios comandos shell.

Lo que el investigador de Trustwave descubrió es que este acceso, desactivado por defecto, podía reactivarse bajo determinadas circunstancias gracias a un archivo de configuración que tienen todas las aplicaciones de Electron.

Scarvell detectó que un atacante podía explotar una vulnerabilidad de secuencias de comandos entre sitios (porque como decíamos, las aplicaciones de escritorio creadas con Electron son en esencia aplicaciones web) para crear un nuevo elemento WebView creando sus propios permisos. Con determinados cambios lograrían la ejecución remota del código.

SISTEMAS AFECTADOS

Versiones de Electron anteriores a 1.7.13, 1.8.4 y 2.0.0-beta.3

SOLUCIÓN

El problema fue parcheado con el lanzamiento de las versiones 1.7.13, 1.8.4 y 2.0.0-beta.4.

FUENTE

https://www.genbeta.com/