El investigador de seguridad Dominik Penner ha descubierto recientemente una vulnerabilidad en KDE que permite ejecutar comandos del sistema al abrir un directorio con un fichero .directory manipulado.
Se ha descubierto una vulnerabilidad no parcheada aún en el entorno de escritorio KDE. Afecta a las versiones 4 y 5 (KDE Plasma), y la víctima solamente necesita abrir un directorio para que el comando malicioso sea ejecutado.
La vulnerabilidad se produce gracias a los ficheros «.directory», que son ficheros similares a los ficheros «desktop.ini» de Windows. En estos ficheros se especifican diferentes variables de configuración para el directorio en el que se encuentran.
Una de estas variables es «Icon», que se puede configurar indicando el path a una imagen que utilizará el navegador de ficheros Dolphin como icono de la carpeta en los diferentes menús. Esta es una de las variables que permite el uso de «shell expansion».
La idea de la funcionalidad shell expansion es proporcionar la posibilidad al usuario de incluir un valor dinámico a las variables, ya que en algunos casos esta opción podría ser útil. Sin embargo, esta funcionalidad permite que se acabe inyectando un comando de consola que acabará ejecutándose.
En la prueba de concepto realizada por Penner, se puede ver cómo simplemente descargando y descomprimiendo un fichero ZIP que contiene un directorio con un «.directory» que explota la vulnerabilidad, el atacante es capaz de obtener una shell inversa con la que consigue control de la máquina de la víctima.
Como se puede ver en la vídeo anterior de la prueba de concepto realizada por Hispasec, simplemente con un fichero «.directory» y abusando la funcionalidad «shell expansion«, es posible ejecutar cualquier comando, comprometiendo la máquina de la víctima.
Aunque estos ficheros de configuración se llaman «.directory», en nuestras pruebas hemos podido comprobar que KDE también permite aquellos llamados «_directory».
La vulnerabilidad aún no está corregida, por lo que recomendamos a los usuarios de KDE que tengan especial cuidado hasta que se solucione y mantener actualizado el sistema.
Más información:
Explicación de Dominik Penner: https://gist.githubusercontent.com/zeropwn/630832df151029cb8f22d5b6b9efaefb/raw/64aa3d30279acb207f787ce9c135eefd5e52643b/kde-kdesktopfile-command-injection.txt
Deja una respuesta