O investigador John Page (@ hyp3rlinx), descobriu uma vulnerabilidade de dia zero no processamento de ficheiros VCard que podia ser explorada por um invasor remoto, sob certas condições, para hackear um PC com o SO Windows instalado.
O investigador relatou a falha para a Microsoft através da Zero Day Initiative (ZDI) da Trend Micro.
“This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of Microsoft Windows. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file.” reads the security advisory on ZDI.
“The specific flaw exists within the processing of VCard files. Crafted data in a VCard file can cause Windows to display a dangerous hyperlink. The user interface fails to provide any indication of the hazard. An attacker can leverage this vulnerability to execute code in the context of the current user.”
A falha foi relatada pela primeira vez em 08/06/18. A Microsoft reconheceu o relatório e forneceu um número de rastreamento e solicitou um PoC ao especialista.
Em 10/03/18, o fornecedor avisou que o relatório não atendia a certos críterios, mas no seu mais recente patch a Microsoft decidiu corrigir a falha.
Um atacante pode usar um ficheiro VCard especialmente criado que contenha no campo de URL do website o caminho para um ficheiro executável local.
Esse segundo ficheiro pode ser enviado através de um ficheiro compactado como anexo de email ou entregue por meio de drive-by-download attacks. Os criminosos até nem precisam criar um cenário muito complicado. P.ex., podem enviar o VCard junto com o malware, ambos compactados num ficheiro .zip, mas o executável hidden.
Segue a PoC criada pelo investigador e também relatada à Microsoft como meio de validar a vulnerabilidade.
“This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of Microsoft Windows. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the processing of VCard files.” reads the advisorypublished by the expert.
“Crafted data in a VCard file can cause Windows to display a dangerous hyperlink. The user interface fails to provide any indication of the hazard. An attacker can leverage this vulnerability to execute code in the context of the current user.”
O investigador apontou que a exploração dessa falha requer interação do utilizador. As vítimas têm que visitar uma página especialmente criada ou abrir um ficheiro malicioso.
A vulnerabilidade de dia zero recebeu uma pontuação CVSS 3.0 de 7,8.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.