La faille Zero-Day de Dropbox est corrigée temporairement

Dropbox, le compte le plus privilégié du système d’exploitation, présente une vulnérabilité de jour zéro en raison de laquelle, les attaquants parviennent à obtenir des autorisations réservées à l’appareil. L’erreur de sécurité non corrigée affecte les installations Dropbox standard. Il est connecté au programme de mise à jour qui fonctionne en tant que service et est responsable de la mise à jour du programme. Dropbox n’a pas encore publié une nouvelle version qui corrige la vulnérabilité, mais une solution temporaire est disponible gratuitement sous la forme d’un micropatch.

Selon eux, ils ont informé Dropbox du problème le 18 septembre et ont accordé un délai de 90 jours avant de procéder à une clôture publique. La société réagit en disant que l’échec était connu et qu’un correctif serait disponible avant la fin octobre. Jusqu’à ce que Dropbox déploie une meilleure version, une solution provisoire peut être appliquée via 0Patch, une plate-forme qui fournit des micropatchs pour les problèmes connus avant qu’un correctif officiel permanent ne soit disponible.

Décrivant le problème sur Twitter, Mitja Kolsek, PDG de la société Acros Security derrière 0patch, dit qu’un attaquant local à faibles privilèges peut l’utiliser pour remplacer l’exécutable exécuté par un processus avec des droits de niveau SYSTÈME. «Lors de l’analyse du problème, nous avons décidé que la solution la plus fiable serait de simplement couper le code d’écriture de journal de DropBox Updater. Cela ne semble pas avoir un impact négatif sur la fonctionnalité DropBox ou le processus de mise à jour – cela laisse simplement le fichier journal vide, ce qui rend potentiellement plus difficile pour DropBox de résoudre les problèmes sur l’ordinateur de l’utilisateur. (De toute évidence, ne pas être vulnérable l’emporte sur cela.) »- Mitja Kolsek

Decoder fournit des détails pour investir la faille dans la mise à niveau des privilèges sur un hôte déjà compromis, dans un article de blog cette semaine. Le code d’exploitation n’est pas fourni, car le but de la révélation est de «partager des connaissances, pas des outils». Le chercheur mentionne qu’il a essayé la faille d’élévation de privilèges sur la version 87.4.138 de l’application, qui est le dernier produit à l’époque ce message est en cours d’écriture. La méthode et les techniques d’exploitation tirent parti du programme de mise à jour Dropbox, qui est installé en tant que service avec deux tâches planifiées qui s’exécutent avec des autorisations système.