Dropbox Zero-Day Flaw viene temporaneamente risolto
Dropbox, l’account più privilegiato sul sistema operativo ha una vulnerabilità zero-day a causa della quale, gli aggressori riescono a ottenere le autorizzazioni riservate al dispositivo. L’errore di sicurezza senza patch interessa le installazioni Dropbox standard. È collegato al programma di aggiornamento che viene eseguito come servizio ed è responsabile di mantenere aggiornato il programma. Dropbox non ha ancora rilasciato una nuova versione che corregge la vulnerabilità, ma una soluzione temporanea è liberamente disponibile sotto forma di micropatch.
Secondo loro, hanno informato Dropbox del problema il 18 settembre e hanno concesso un periodo di 90 giorni prima di chiudere pubblicamente. La società reagisce dicendo che il fallimento era noto e una soluzione sarebbe diventata disponibile entro la fine di ottobre. Fino a quando Dropbox non distribuirà una versione migliore, una soluzione provvisoria può essere applicata tramite 0Patch, una piattaforma che fornisce micropatch per problemi noti prima che sia disponibile una correzione ufficiale permanente.
Descrivendo il problema su Twitter, Mitja Kolsek, CEO della società Acros Security dietro a 0patch, afferma che un utente malintenzionato locale a basso privilegio può utilizzarlo per sostituire l’esecuzione eseguibile con un processo con diritti a livello di SISTEMA. “Durante l’analisi del problema, abbiamo deciso che la soluzione più affidabile sarebbe stata semplicemente tagliare il codice di scrittura del registro da DropBox Updater. Ciò non sembra influire negativamente né sulla funzionalità DropBox né sul processo di aggiornamento: lascia semplicemente il file di registro vuoto, rendendo potenzialmente più difficile per DropBox risolvere i problemi sul computer dell’utente. (Chiaramente, non essere vulnerabile briscola.) “- Mitja Kolsek
Decoder offre dettagli per investire il difetto per aggiornare i privilegi su un host già compromesso, in un post sul blog di questa settimana. Il codice exploit non viene consegnato, poiché lo scopo della rivelazione è “condividere conoscenze, non strumenti”. Il ricercatore afferma di aver provato il difetto di escalation di privilegi sulla versione 87.4.138 dell’applicazione, che è l’ultimo prodotto al momento questo post è stato scritto. Il metodo e le tecniche per lo sfruttamento sfruttano il programma di aggiornamento di Dropbox, che è installato come servizio con due attività pianificate che vengono eseguite con autorizzazioni di sistema.