• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • ############################
    |A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
    ############################

    Vulnerabilidad de ejecución remota de código en Electron
    15/05/2018
    =============================================
    CVE-2018-1000136
    Fecha de lanzamiento: 14/05/2018
    Gravedad: Alta
    =============================================

    VULNERABILIDAD
    --------------------------------------------------------------------------------

    Se ha publicado una vulnerabilidad presente en la herramienta de desarrollo multiplataforma Electron por la que se podrían modificar los privilegios del sistema.

    INFORMACIÓN
    --------------------------------------------------------------------------------

    Electron framewwork de código abierto creado y mantenido por GitHub. Permite el desarrollo de aplicaciones GUI de escritorio utilizando componentes frontend y backend desarrollados originalmente para aplicaciones web: tiempo de ejecución de Node.js para el back-end y Chromium para el frontend. Electron es el framework principal de GUI detrás de varios proyectos de código abierto notables incluyendo Atom de GitHub y editores de código fuente Visual Studio Code de Microsoft, la aplicación de escritorio de servicio de streaming de música Tidal y el IDE Light Table, además de el cliente de escritorio freeware para el servicio de chat de Discord.

    DESCRIPCIÓN
    --------------------------------------------------------------------------------

    La compañía de ciberseguridad TrustWave ha advertido sobre una vulnerabilidad presente en la herramienta de desarrollo multiplataforma Electron, que sirve como base a aplicaciones web como Slack o Skype, por la que se pueden modificar los privilegios del sistema.

    Las aplicaciones de escritorio que se construyen mediante Electron emplean HTML, CSS y JavaScript. Adicionalmente, siempre que el desarrollador así lo requiera, puede entrar en juego Node.js para que la aplicación pueda acceder así a las partes de nivel inferior del sistema, incluso pudiendo ejecutar sus propios comandos shell.

    Lo que el investigador de Trustwave descubrió es que este acceso, desactivado por defecto, podía reactivarse bajo determinadas circunstancias gracias a un archivo de configuración que tienen todas las aplicaciones de Electron.

    Scarvell detectó que un atacante podía explotar una vulnerabilidad de secuencias de comandos entre sitios (porque como decíamos, las aplicaciones de escritorio creadas con Electron son en esencia aplicaciones web) para crear un nuevo elemento WebView creando sus propios permisos. Con determinados cambios lograrían la ejecución remota del código.

    SISTEMAS AFECTADOS
    --------------------------------------------------------------------------------

    Versiones de Electron anteriores a 1.7.13, 1.8.4 y 2.0.0-beta.3

    SOLUCIÓN
    --------------------------------------------------------------------------------

    El problema fue parcheado con el lanzamiento de las versiones 1.7.13, 1.8.4 y 2.0.0-beta.4.

    FUENTE
    --------------------------------------------------------------------------------

    https://www.genbeta.com/