Es posible la ejecución remota de código y el movimiento lateral de la red
Los investigadores de seguridad descubrieron una forma de abusar del conocido servicio de escaneo de malware VirusTotal, propiedad de Chronicle, subsidiaria de Google, para ejecutar de forma remota comandos arbitrarios en la plataforma y acceder a múltiples hosts internos.
VirusTotal brinda acceso a más de 70 escáneres antivirus diferentes de proveedores de seguridad como Kaspersky, ESET y 360 Total Security, utilizando varios métodos diferentes para enviar muestras de malware. Probando una idea, los investigadores Shai Alfasi y Marlon Fabiano da Silva del proveedor de seguridad israelí CySource incrustaron una carga útil en los metadatos de un archivo DjVu, para explotar una vulnerabilidad existente en la utilidad ExifTool de código abierto.
ExifTool extrae anotaciones, etiquetas y metadatos de archivos de imágenes intercambiables, y una vulnerabilidad en ExifTool 12.23 encontrada por el investigador William Bowling el año pasado puede activarse mediante archivos DjVu para obtener la ejecución remota de código.
DjVu es un formato de archivo relativamente antiguo y que ya no está desarrollado, ideado por AT&T, que se utiliza para almacenar imágenes escaneadas. Ninguno de los escáneres antivirus VirusTotal detectó la carga útil codificada en Base64 de los investigadores de CySource agregada a los metadatos del archivo malicioso DjVu. Los investigadores descubrieron que "en lugar de que exiftool detecte los metadatos del archivo, ejecuta nuestra carga útil".
Además de la ejecución remota de código, los investigadores obtuvieron un shell inverso que hizo posible acceder a más de 50 hosts de red internos en Google y sus socios proveedores de seguridad VirusTotal, con altos privilegios. "La parte interesante es que cada vez que cargamos un archivo con un nuevo hash que contiene una nueva carga útil, virustotal reenvía la carga útil a otros hosts. "Entonces, no solo tuvimos un RCE, sino que también fue reenviado por los servidores de Google a la red interna de Google, sus clientes y socios", escribió el equipo de CySource .
Una vez dentro de las redes, los investigadores mapearon varios servicios, como la orquestación de contenedores de Kubernetes, las bases de datos MySQL y Oracle, Secure Shell (SSH) y otras aplicaciones web. CySource reveló la vulnerabilidad al programa de recompensas por vulnerabilidad de Google a fines de abril de 2021, y el informe del proveedor de seguridad fue aceptado el 21 de mayo del año pasado.
En enero de este año se implementó una solución para la vulnerabilidad y, al mismo tiempo, GoogleVRP autorizó a CySource a publicar detalles sobre el error.
Historias relacionadas :
Google : lanzó la función de 'lenguaje inclusivo' con la finalidad de reducir palabras incorrecta
Google : ya publico el informe anual de búsqueda de spam
Google Fotos : ahora el almacenamiento es ilimitado, pero solo para usuarios de T-Mobile
Google Play Protect : está que advierte a las personas que desinstalen la aplicación Vanced Manager
Desde hoy google play reemplaza a Android Market
Puedes perder tu cuenta de Whatsapp si usas versiones no oficiales
Netflix : ahora los juegos de acción FPS llegará próximamente
Netflix : ahora está brindando soporte HDR para los últimos píxeles de Google
Código de Mapas para Squid Game Fortnite, para jugar la serie de Netflix
La popular serie de Netflix 'El juego de Calamar' llevado al videojuegos ...
Netflix debuta en videojuegos gracias a Stranger Things
Que hacer si otros usan tu cuenta de Netflix, Amazon o Disney
Los mejores documentales en Netflix, basada en la programación de Estados Unidos
[Fuente]: itnews.com.au
Anónimo.( 26 de Abril de 2022).VirusTotal. Modificado por Carlos Zambrado Recuperado itnews.com.au
