Un investigador de seguridad ha descubierto una vulnerabilidad de inyección de código en el componente que maneja las miniaturas del File Manager de GNOME que podría permitir a los hackers ejecutar código malicioso en máquinas Linux.
La vulnerabilidad (CVE-2017-11421) fue descubierta por el investigador alemán Nils Dagsson Moskopp, quien también dio a conocer el código de prueba de concepto en su blog para demostrar la vulnerabilidad.
La vulnerabilidad de inyección de código reside en “gnome-exe-thumbnailer”, una herramienta para generar miniaturas (thumbnail) de archivos ejecutables de Windows (.exe/.msi/.dll /.lnk) para GNOME, que requiere que los usuarios tengan la aplicación Wine instalada en sus sistemas para poder abrir los archivos.
Aquellos que no saben, Wine es un programa de código abierto que permite que las aplicaciones de Windows puedan ser ejecutadas en el sistema operativo Linux. Moskopp descubrió que mientras navegaba en un directorio que contiene el archivo .msi, el GNOME File Manager toma el nombre del archivo como una entrada ejecutable y lo ejecuta para crear una imagen en miniatura.
Para una explotación exitosa de la vulnerabilidad, un atacante puede enviar un archivo de Windows Installer (MSI) con código malicioso VBScript en su nombre de archivo, que si se descarga en un sistema vulnerable podría comprometer la máquina sin más interacción del usuario.
Moskopp en su post dice:
En lugar de analizar un archivo .msi para obtener su número de versión, este código crea una secuencia de comandos que contiene el nombre de archivo para el que se debe mostrar una miniatura y ejecuta eso utilizando Wine.
El script se construye utilizando una plantilla, lo que hace posible incrustar VBScript en un nombre de archivo y activar su ejecución.
La falla puede ser explotada por potenciales hackers que utilizan otros vectores de ataque, por ejemplo, insertando directamente una unidad USB con un archivo malicioso almacenado en ella o entregando el archivo malicioso a través de una descarga.
¿Cómo protegernos de esta amenaza?
Moskopp reportó la vulnerabilidad al proyecto GNOME y al proyecto Debian. Ambos parcharon la vulnerabilidad en el manejador de archivos.
La vulnerabilidad afecta a gnome-exe-thumbnailer anteriores a la versión 0.9.5. Por lo tanto, si ejecuta un sistema operativo Linux con el escritorio GNOME, compruebe si hay actualizaciones inmediatamente antes de que se vea afectado por esta vulnerabilidad de caracter crítico.
Mientras tanto, Moskopp también aconsejó a los usuarios, si es que su distribución aún no ha tiene un parche disponible:
- Eliminar todos los archivos en /usr/share/thumbnailers
- No utilizar el GNOME File Manager.
- Desinstale cualquier software que facilite la ejecución automática de nombres de archivo como código.
Moskopp también aconsejó a los desarrolladores no usar “analizadores ad hoc” para analizar los archivos, “identificar completamente las entradas antes de procesarlas” y utilizar los analizadores en lugar de las plantillas.