Facebook Messenger曝安全漏洞,攻擊者可利用該漏洞「為所欲為」
Reason Labs網路安全實驗室研究人員近日公布了Facebook Messenger Windows桌面版的一個安全漏洞,攻擊者利用該漏洞可以實現惡意軟體駐留。
該漏洞位於Messenger v460.16版本中,攻擊者利用該應用漏洞可以在被黑的系統中執行惡意文件,幫助惡意軟體實現駐留或擴展的訪問許可權。
研究人員稱有漏洞的app觸發了一個從C:\python27路徑載入Windows Powershell的調用。該路徑是在安裝python 2.7版本時創建的,在大多數Windows安裝中並不存在。攻擊者可以劫持嘗試從不存在的資源來載入的調用來隱蔽地執行惡意軟體。此外,目標目錄位於低許可權的位置,因此惡意程序可以無需管理員許可權就可以訪問這些路徑。
為了測試該漏洞是否可以利用,研究人員創建了一個偽裝成Powershell.exe的逆向shell,並將其部署在python目錄中。然後運行有漏洞的Messenger app來觸發調用,成功執行逆向shell,證明了惡意攻擊者可以利用該漏洞實現駐留:
1、研究人員首先用msfvenom創建一個逆向shell,然後用Metasploit創建一個監聽器作為PoC。一旦逆向shell創建,就會被轉移到c:\python27 目錄,名字也會被修改為Powershell.exe,然後就可以劫持調用:
2、研究人員在攻擊者機器上運行監聽器來獲取來自受害者機器的逆向shell連接:
3、然後執行「Messenger」應用並獲得逆向shell連接:
攻擊者利用這些漏洞除了實現駐留外,還可以進一步發起其他攻擊,比如勒索軟體植入、數據竊取等。攻擊者利用駐留方法可以對金融機構、政府組織和其他機構發起專業級攻擊。
Facebook有13億的月活,其中許多是Windows用戶,因此該漏洞帶來的威脅是非常大的。目前,Facebook已經在Messenger的v460.16版本中修復了該安全漏洞。
更多技術細節參見:
https://blog.reasonsecurity.com/2020/06/11/persistence-method-using-facebook-messenger-desktop-app/
參考及來源:https://thehackernews.com/2020/06/facebook-malware-persistence.html
