Cosa pensereste se vi dicessi che è possibile hackerare un sistema Windows utilizzando una vCard? Purtroppo è tutto possibile e tra poco vedremo come.
Una vCard è un “contenitore” di informazioni tipicamente gestiti all’interno di elenci dei contatti, essa può contenere dati come nome del contatto, titolo, numeri di telefono, indirizzi e-mail, ed URL di siti.
È possibile usare le vCard per aggiungere una persona all’elenco dei contatti, o per importare o esportare più contatti in un solo file.
Una vCard può essere trasferita attraverso un messaggio WhatsApp oppure come allegato ad una mail.
Quando si riceve una e-mail che contiene la vCard è sufficiente fare clic con il pulsante destro del mouse sulla vCard per importare le informazioni della persona nei contatti.
Di recente un esperto di sicurezza ha scoperto una falla zero-day nell’elaborazione dei file VCard che potrebbero essere sfruttati da un utente malintenzionato remoto per compromettere un PC Windows.
Il ricercatore John Page (@ hyp3rlinx), ha scoperto una vulnerabilità zero-day nel processo di elaborazione dei file VCard che potrebbe essere sfruttata da un utente malintenzionato in remoto, in determinate condizioni, per compromettere un PC Windows. L’esperto ha segnalato il problema a Microsoft tramite l’iniziativa Zero Day Initiative (ZDI) gestita da Trend Micro.
“Questa vulnerabilità consente ad attaccanti remoti di eseguire codice arbitrario su installazioni vulnerabili di Microsoft Windows. L’interazione dell’utente è necessaria per sfruttare questa vulnerabilità in quanto la vittima deve visitare una pagina dannosa o aprire un file dannoso.” recita l’avviso di sicurezza pubblicato su ZDI.
“Il difetto specifico esiste nel processo di ‘elaborazione dei file VCard. I dati elaborati in un file VCard possono consentire la visualizzazione di un pericoloso collegamento ipertestuale da parte di Windows. L’interfaccia utente non fornisce alcuna indicazione del pericolo. Un utente malintenzionato può sfruttare questa vulnerabilità per eseguire codice nel contesto dell’utente corrente.”
La falla è stata segnalata per la prima volta il giorno 8 Giugno 2018, Microsoft ha inizialmente riconosciuto la segnalazione e fornito un numero di tracciamento. Gli esperti di Microsoft hanno poi richiesto una dimostrazione della possibilità di sfruttare la falla (Proof-of-Concept o PoC) all’esperto.
Il giorno 10 Marzo 2018, Microsoft ha informato il ricercatore del fatto che la segnalazione non soddisfaceva i termini stabiliti dall’azienda per essere accettati. Dopo ulteriori contatti, Microsoft ha fortunatamente deciso di rimediare alla vulnerabilità.
A causa della presenza della falla, un utente malintenzionato può utilizzare un file VCard appositamente predisposto contenente all’interno del campo “indirizzo del sito Web” un link ad un file eseguibile memorizzato in locale.
Vi chiederete allora dove prendo questo file locale? Come è possibile trasferirlo alle vittime. Il file può essere inviato all’interno di un file zip come allegato ad una e-mail o consegnato tramite attacchi drive-by-download, ovvero facendo in modo che sia l’utente a scaricare il file mentre visita un sito compromesso.
Nel seguente video è mostrato quando accade alla vittima nel momento in cui fa clic su quell’URL del sito Web presente nel contatto. Il sistema operativo Windows esegue il file dannoso senza visualizzare alcun avviso all’utente.
John Page ha anche pubblicato il codice per sfruttare la vulnerabilità che ha scoperto: “Questa vulnerabilità consente ad attaccanti remoti di eseguire codice arbitrario su installazioni vulnerabili di Microsoft Windows. È necessaria l’interazione dell’utente per sfruttare questa falla in quanto la vittima deve visitare una pagina malevola o aprire un file dannoso. Il difetto specifico affligge il processo di elaborazione dei file VCard”. recita la descrizione fornita dall’esperto.
“I dati elaborati in un file VCard possono causare la visualizzazione di un collegamento ipertestuale malevolo da parte di Windows. L’interfaccia utente non riesce a fornire alcuna indicazione del pericolo. Un utente malintenzionato può sfruttare questa vulnerabilità per eseguire codice nel contesto dell’utente corrente.”
L’esperto ha sottolineato che lo sfruttamento di questa falla richiede l’interazione dell’utente, ciò implica che le vittime devono visitare una pagina appositamente predisposta o aprire un file malevolo.
In entrambi gli scenari è richiesta la partecipazione della vittima che deve essere indotta in errore attraverso attacchi di ingegneria sociale.