供应商说
远程鼠标中的六个零日漏洞,这是一个非常受欢迎的应用程序,将平板电脑和智能手机变成台式PC的遥控器,可能会导致零单击远程代码执行(RCE)。
根据一个可以拦截并在彩虹表中抬起的密码验证,统称为“ Mousetrap”配音,其安全缺陷产生博客文章安全研究员Axel Persinger于5月5日发布。
“完全收购”
远程鼠标模拟Windows,MacOS和Linux机器上鼠标,键盘和触摸板的功能,并与iOS,Android和Windows Mobile设备兼容。
该应用程序的开发人员Emote Interactive声称它已被使用超过2000万用户全世界。
在他的研究期间,Persinger发现从设备到台式PCS发送的用户数据报协议(UDP)数据包中没有NONCE意味着攻击者可以“自由注入击键”而没有用户交互。
应用程序协议中对漏洞的开发可能会“如果他们正在运行软件,则可以完全接管某人的机器。研究人员告诉每日swbeplay2018官网ig。
潘辛格说:“有很多遗忘的用户可以完全没有意识到。”
提醒供应商
研究人员说,他发现了远程鼠标版本3.015中的缺陷,并且它们仍然存在于版本4.0.0.0自从他向供应商提醒以来,该公司已被释放。
截至今天(5月10日),他告诉每日swbeplay2018官网ig似乎位于香港的互动互动,仍然没有回复他的电子邮件,向他们发出警报漏洞2月6日。
每日swbeplay2018官网ig还在5月7日发送了查询以表明Interactive,我们尚未收到答复。如果有进一步的发展,我们将更新本文。
灾难性的击键
这些缺陷尚未分配CVSS分数,意味着攻击者可以利用缺乏身份验证逻辑的缺陷,并且在ClearText中发送信息以“最大化或最小化运行过程的窗口,通过在精心设计的数据包中发送该过程名称,”(CVE-2021-27569)。
根据研究人员的说法,攻击者还可以“通过以专门精心制作的数据包发送过程名称来关闭任何运行过程”(CVE-2021-27570)和“检索最近使用和运行的应用程序,它们的图标和文件路径”(CVE-2021-27571)。
另外两个缺陷允许未经身份验证的用户“通过精心设计的UDP数据包执行任意代码” - 一个通过数据包重播通过身份验证旁路(CVE-2021-27572),另一个“没有事先授权或身份验证”(CVE-2021-27573)。
最后,使用“ ClearText HTTP检查和请求,更新”意味着“攻击者可以中间机器一个受害者下载恶意二进制代替真实更新的受害者,没有SSL错误或警告”(CVE-2021-27574)。
Persinger说:“一旦您意识到如何从移动应用程序传递到计算机,我认为利用它变得非常简单。”
警告应用商店
代替供应商的响应,Persinger与Microsoft联系,苹果,以及Google“查看他们是否会删除该应用程序”,从各自的移动应用程序商店中,但在发布时没有回复。
他还说,根据其他Infosec专家收集的建议,下次漏洞报告未能引起供应商的回应,他将“在90天,60天和30天标记上发送几个不同的地址”。
他说:“我要做这项工作的原因是保护最终用户的安全,而我要做的最后一件事就是伤害这一点。”
你可能还喜欢脉冲连接安全零日星在关键补丁批处理中
