Versión de Facebook Messenger para Windows tenía vulnerabilidad que permitía a ciberatacantes secuestrar una llamada e inyectar malware

Un grupo de investigadores de Reason Securirt informaron sobre un error crítico en la aplicación Facebook Messenger que permitía ataques persistentes de malware a largo plazo. El error es específico para la versión de escritorio de Windows. La aplicación vulnerable activaba la llamada y cargaba la ruta de Powershell que ejecutaba el código malicioso. La […]

Un grupo de investigadores de Reason Securirt informaron sobre un error crítico en la aplicación Facebook Messenger que permitía ataques persistentes de malware a largo plazo. El error es específico para la versión de escritorio de Windows. La aplicación vulnerable activaba la llamada y cargaba la ruta de Powershell que ejecutaba el código malicioso.

La falla fue descubierta en una versión 460.16 de Messenger. Se informó que el atacante que aprovecha la aplicación defectuosa podía ejecutar potencialmente archivos maliciosos presentes en el sistema comprometido e intentar obtener un acceso extendido.

Aparentemente, Facebook fue informado en abril sobre esto, y lanzo en el corto plazo un parche para mitigar la falla, es así como la versión actualizada de Facebook Messenger para usuarios de Windows disponible en Microsoft Store se encuentra libre de este error.

Los atacantes podían secuestrar llamadas y ejecutar el malware

El error existía porque una versión particular de la aplicación ejecutaba un código inusual que permitía al atacante obtener acceso persistente al sistema de una máquina. Así es como los atacantes podían secuestrar la llamada a través de Messenger y ejecutar el malware. El Powershell.exe realizaba un particular llamado de lanzamiento al directorio Python27, lo que atrajo la atención de los investigadores.

“Cuando vimos eso, supimos que habíamos encontrado algo, ya que la ubicación de “Python27” está en el directorio “c: \ python27”, que es una ubicación de baja integridad. Esto significa que cada programa malicioso puede acceder a la ruta sin ningún privilegio de administrador”.

El directorio de destino está en una ubicación de baja integridad, por lo que pueden inyectarse programas maliciosos sin ningún permiso o derechos de administrador. El equipo de investigadores lanzó una prueba para detectar la falla, por lo que el shell se disfrazó y se implementó en el directorio de Python. La llamada de la aplicación Messenger se activó con éxito y el shell se ejecutó. Esta acción demostró que los actores maliciosos podían explotar fácilmente la falla y realizar ataques.

Vulnerabilidad de explotación más compleja

Por lo general los cibercriminales usan métodos de persistencia que se centran en modificar el registro, inyectar tareas programadas, servicios y mantener el acceso activo al sistema. Sin embargo, la falla que se presentó es más compleja porque los atacantes pueden detectar si la aplicación está haciendo llamadas no deseadas o profundizar en el código binario de la aplicación y encontrar la función para hacer una llamada.

Por el momento no hay indicaciones particulares de que esta vulnerabilidad haya sido explotada. No obstante, los ciberdelincuentes pueden usar la falla y aprovechar la oportunidad para ejecutar actividades maliciosas durante períodos prolongados. Se trata de problemas de persistencia, por tanto, actores maliciosos pueden inyectar ransomware, filtrar datos o violar información.

Estos métodos persistentes suelen acostumbrarse a dirigirse a instituciones particulares, gobiernos y empresas. Los hacks especializados afectan a instituciones financieras, oficinas, empresas en diversas industrias. Tales fallas en las aplicaciones de mensajería son más preocupantes porque durante este tiempo, y a causa de la pandemia, las personas recurren a
estas aplicaciones y las usan con mayor intensidad y frecuencia que antes.