Um Investigador descobriu uma falha XSS na aplicação Evernote para Windows que pode ser explorada de forma a roubar ficheiros e executar comandos arbitrários.

Investigador em segurança @sebao, descobriu uma falha XSS na aplicação Evernote para Windows que pode ser explorada de forma a roubar ficheiros e executar comandos arbitrários.

O investigador percebeu que, quando um utilizador adiciona uma figura a uma nota e a renomeia, ela pode ser guardada como um código JavaScript em vez de um nome. Sebao descobriu que, se a nota fosse partilhada com outro utilizador do Evernote, o código seria executado quando o destinatário clicasse na foto.

Em setembro, o Evernote abordou a falha de XSS persistente com o lançamento da versão 6.16, mas a correção não mitigou o problema.

O investigador TongQing Zhu da equipa Knownsec 404 descobriu que ainda era possível executar código malicioso através de uma variante possível de explorar.

TongQing Zhu descobriu que o código usado em vez do nome poderia carregar um ficheiro Node.js de um servidor remoto. O script é executado via NodeWebKit que é usado pelo Evernote no modo de apresentação.

“I find Evernote has a NodeWebKit in C:\\Program Files(x86)\Evernote\Evernote\NodeWebKit and Present mode will use it. Another good news is we can execute Nodejs code by stored XSS under Present mode.” explained TongQing Zhu.

 

Um fulano mal intencionado só precisa enganar o Evernote para abrir no modo de apresentação, desta forma ele será capaz de roubar ficheiros arbitrários e executar comandos.

O investigador publicou uma PoC de forma a demonstrar a criticidade da sua descoberta:

 

A falha foi identificada como CVE-2018-18524 ​​e foi inicialmente resolvida com o lançamento do Evernote para o Windows 6.16.1 beta em outubro. O patch final foi lançado no início deste mês com o lançamento do Evernote 6.16.4.

 

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *