Según el equipo de investigación de Project Zero de Google, los piratas informáticos pueden utilizar la aplicación de transferencia y descarga de archivos denominada ‘Transmisión’ que utilizan los usuarios de BitTorrent para realizar ataques.
Resultó que debido a una vulnerabilidad detectada en la aplicación ‘Tranmission BitTorrent’, que es utilizada por muchos, los atacantes pueden controlar las computadoras de los usuarios de BitTorrent cargando códigos maliciosos en sus computadoras.
La vulnerabilidad fue descubierta por el equipo de detección de vulnerabilidades ‘Project Zero’ de Google. Tavis Ormandy, quien forma parte de este equipo, envió una presentación sobre cómo podría llevarse a cabo este posible ataque.
El equipo de Project Zero suele anunciar los ataques que detectan 90 días después de informar los ataques a las instituciones de software pertinentes o estas empresas lanzan el parche sobre las vulnerabilidades informadas.
Pero en este último caso, los investigadores sintieron la necesidad de informar sobre el problema 40 días después, porque los desarrolladores de la aplicación llamada Transmission no lograron desarrollar un parche para el problema que el equipo de Project Zero informó hace un mes.
Prueba conceptual de ataque
La ‘prueba conceptual’, publicada por Ormandy, explota una función especial de la aplicación llamada Transmission, que permite a los usuarios usar BitTorrent con sus navegadores web.
Ormandy confirmó que la herramienta de ataque que desarrolló funciona en los navegadores Chrome y Firefox, sistemas operativos Windows y Linux. También establece que otros navegadores y plataformas también son vulnerables a este ataque.
La aplicación de BitTorrent llamada Transmission se ejecuta en una arquitectura de ‘servidor-cliente’ donde los usuarios tienen que instalar un servidor daemon en su sistema para acceder a su interfaz basada en web a través de su navegador local.
El daemon instalado en el sistema del usuario interactúa con el servidor para descargar y cargar archivos a través del navegador con avisos JSON RPC.
Ormandy descubrió que esta técnica de ataque, a la que llamó “enlace del sistema de nombres de dominio”, abusó con éxito de la configuración que acabamos de mencionar y, con la ayuda del servicio daemon instalado, permitió que el código fuente malicioso se cargara en la computadora del usuario remoto en todos los sitios maliciosos que el usuario visitaría.
Cómo se produjo el ataque
La vulnerabilidad se basa en la manipulación de servicios instalados en el servidor local para que interactúen con sitios web de terceros.
Después de crear un nombre DNS con el que están autorizados a comunicarse, los atacantes pueden aprovechar esta vulnerabilidad conectándolo al nombre del servidor local de la víctima.
1. El usuario visita el sitio malicioso (http://saldirgan.com). Este sitio tiene una redirección iframe a un subdominio controlado por el atacante.
2. El atacante configura el servidor DNS para interactuar alternativamente con 127.0.0.1 y 123.123.123.123 (una dirección controlada por el atacante) con un TTL muy bajo.
3. Cuando el navegador resuelve 123.123.123.123, actúa como HTML esperando que expire el tiempo de entrada de DNS (o inundando el búfer con el método de búsqueda, forzando la desconexión de la conexión). Y así obtiene permiso para leer y establecer encabezados.
Ormandy dice que esta vulnerabilidad (CVE-2018-5072) es “la primera de las vulnerabilidades de ejecución de código de acceso remoto disponibles en diferentes servidores de torrent populares”, pero no especifica qué otros servidores de torrent son, ya que el período de 90 días no ha expirado.
