不一致桌面应用程序漏洞链触发远程代码执行攻击

Discord修补了桌面版消息应用程序中的一个严重问题，该问题使用户容易受到远程代码执行（RCE）攻击。

臭虫赏金猎人Masato Kinugawa几个月前开发了一个导致RCE的漏洞链，并发布了上周末发表的一篇博客文章描述了该方法的技术细节，其中合并了多个错误。

第一个安全问题是在Electron，Discord桌面应用程序使用的软件框架。虽然桌面应用程序不是开源的，但Electron使用的JavaScript代码是一个开源项目，用于创建跨平台的应用程序，能够利用JavaScript、HTML，CSS——保存在本地，可以提取和检查https://www.zdnet.com/article/hackers-exploit-windows-error-reporting-service-in-new-fileless-attack/“target=”\u blank“>黑客在新的无文件攻击中利用Windows错误报告服务Electron build“contextIsolation”设置为false，这可能允许应用程序外部的JavaScript代码影响内部代码，例如节点.js功能。该功能旨在在网页和JavaScript代码之间引入不同的上下文。

“这种行为是危险的，因为Electron允许网页外部的JavaScript代码使用节点.js与nodeIntegration选项无关的特性，通过在web页面中重写的函数干扰它们，即使nodeIntegration设置为false，也可以实现RCE，“Kinugawa解释道。

现在，研究人员需要一种在应用程序上执行JavaScript的方法，从而在iframe嵌入功能中发现了一个跨站点脚本（XSS）问题，该功能用于在发布URL时在聊天中显示视频，例如来自YouTube的URL。

这让Kinugawa找到了3D内容查看器Sketchfab。Sketchfab在Discord的内容安全策略中被列入白名单，可以嵌入到iframe中，但是在嵌入页面中发现的基于DOM的XSS可能会被滥用。

CNET:2020年最佳密码管理器：1密码、LastPass和更多比较

然而，这只允许bug赏金猎人在iframe中执行JavaScript，因此仍然无法在Discord桌面应用程序上实现完整的RCE。至少，直到Kinugawa在Electron的“will navigate”事件代码中遇到一个导航限制旁路https://github.com/electron/electron/security/advisories/GHSA-2q4g-w47c-4674“target=”noopener noreferrer nofollow“data component=”externalLink“>CVE-2020-15174，此处理错误，结合其他两个漏洞，Kinugawa可以绕过导航限制并使用iframe XSS漏洞访问包含RCE有效负载的网页，从而执行RCE攻击。

Kinugawa通过Discord's报告了他的发现https://discord.com/security“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>缺陷悬赏计划。在Discord团队对bug进行了测试并确认了它们的有效性之后，开发人员禁用了Sketchfab嵌入，并向iframe添加了一个沙盒属性。

技术共和国：教授创建网络安全营，鼓励女孩选择STEM职业

“过了一段时间，上下文隔离被启用了，”臭虫赏金猎人补充道现在，即使我可以在应用程序上执行任意的JavaScript，RCE也不会通过重写的JavaScript内置方法发生。“

Kinugawa因其不和谐的报告而获得5000美元，而Sketchfab团队为揭露XSS缺陷（现已修补）而获得300美元。Electron的“将导航”问题也已得到解决。

ZDNet已经接触到了不和谐的地方，当我们听到反馈时，它会更新。

有什么建议吗？通过WhatsApp |信号安全联系，电话+447713 025 499，或访问Keybase:charlie0

2020黄金日仍有优惠：最后一分钟存储、SSD和闪存驱动器销售

黄金日结束了，但您仍然可以从百思买、沃尔玛、Target等网站找到交易

通过注册，您同意
2023-03-22 10:04:21

新人小程序+APP定制199元起

发放福利，助力中小企业发展，真正在互联网中受益

 点击询问定制

广告服务展示