Vulnerabilidad de desbordamiento de búfer de WhatsApp supuestamente explotada en estado salvaje

Vulnerabilidad de desbordamiento de bufer de WhatsApp supuestamente explotada en Una nueva vulnerabilidad de WhatsApp ha llamado la atención de la prensa y profesionales de la seguridad de todo el mundo. Zimperium zLabs pronto creará un blog detallado, pero queríamos brindarles a nuestros lectores información preliminar ahora.

Lo que sigue es un breve resumen de la vulnerabilidad. Se ha rumoreado que la vulnerabilidad fue explotada por el Grupo NSO, pero no hubo evidencia proporcionada en los medios para respaldar esto. Como tal, esta publicación solo cubrirá el análisis de vulnerabilidad y cómo Zimperium puede ayudar.

Antecedentes

El 13 de mayo, Facebook anunció una vulnerabilidad asociada con todos sus productos de WhatsApp. Según los informes, esta vulnerabilidad se explotó en la naturaleza y se designó como CVE-2019-3568.

WhatsApp le dijo a la BBC su equipo de seguridad fue el primero en identificar la falla. Compartió esa información con grupos de derechos humanos, proveedores de seguridad seleccionados y el Departamento de Justicia de EE. UU. a principios de este mes.

CVE-2019-3568 Vulnerabilidad

WhatsApp sufre de una debilidad de desbordamiento de búfer, lo que significa que un atacante puede aprovecharla para ejecutar código malicioso en el dispositivo. Los paquetes de datos se pueden manipular durante el inicio de una llamada de voz, lo que provoca que se active el desbordamiento y que el atacante se apodere de la aplicación. Luego, los atacantes pueden implementar herramientas de vigilancia en el dispositivo para usar contra el objetivo.

Descripción: Una vulnerabilidad de desbordamiento de búfer en la pila VOIP (voz sobre protocolo de Internet) de WhatsApp permite la ejecución remota de código a través de una serie especialmente diseñada de paquetes SRTP (protocolo de transporte seguro en tiempo real) enviados a un número de teléfono de destino.

Versiones afectadas:

  • WhatsApp para Android anterior a v2.19.134
  • WhatsApp Business para Android anterior a v2.19.44
  • WhatsApp para iOS anterior a v2.19.51
  • WhatsApp Business para iOS antes de v2.19.51
  • WhatsApp para Windows Phone antes de v2.18.348
  • WhatsApp para Tizen antes de v2.18.15.

La supuesta explotación

Se utilizó una explotación de la vulnerabilidad en un intento de ataque al teléfono de un abogado con sede en el Reino Unido el 12 de mayo, el Tiempos financieros informado. El abogado, cuyo nombre no fue identificado, está involucrado en una demanda contra la firma israelí NSO Group presentada por un grupo de periodistas mexicanos, críticos del gobierno y un disidente de Arabia Saudita.

El ataque informado involucró el uso de la función de llamada de voz de WhatsApp para hacer sonar el dispositivo de un objetivo. Incluso si la llamada no fue contestada, el software de vigilancia podría instalarse.

De una manera que trae de vuelta el deja vu de Stagefright descubierto por Zimperium zLabs, la llamada a menudo desaparecía del registro de llamadas del dispositivo.

Cómo ayuda Zimperium a combatir los ataques CVE-2019-3568

Cremalleras Zimperiumimpulsado por el motor basado en aprendizaje automático de Zimperium, z9, ayuda a proteger a los clientes mediante la identificación de dispositivos en riesgo y amenazas activas que intentan aprovechar la vulnerabilidad.

Perfil de riesgo:
Zimperium zips ayuda a identificar todos los dispositivos que están expuestos a la vulnerabilidad de WhatsApp a través de las capacidades integradas z3A (análisis avanzado de aplicaciones).

Los administradores pueden usar z3A para encontrar todos los dispositivos que tienen las versiones vulnerables de WhatsApp y establecer políticas personalizadas para abordar el riesgo.

Detección activa de amenazas:
Los investigadores de zLabs están investigando los exploits de PoC que se han lanzado, además de crear algunos ellos mismos con fines de prueba. Si el exploit intenta elevar los privilegios y comprometer el dispositivo, z9 detectaría el ataque. Hasta la fecha, z9 ha detectado el 100 % de los exploits de dispositivos de día cero sin requerir una actualización ni sufrir los retrasos y las limitaciones de la detección basada en la nube o las arquitecturas de seguridad heredadas, algo que ningún otro proveedor de seguridad móvil puede reclamar.

Proporcionaremos más información una vez que zLabs concluya su investigación y creación/prueba de PoC.

Deja un comentario