Баг в mIRC позволяет выполнить в Windows сторонний код

Специалисты в области информационной безопасности Батист Девинь (Baptiste Devigne) и Бенджамин Четиуи (Benjamin Chetioui) опубликовали описание и PoC-эксплойт уязвимости в mIRC — распространенном IRC-клиенте для Windows.

Как выяснили исследователи, приложение допускает внедрение команд в передаваемые ссылки, что позволяет выполнить сторонний код на уязвимом устройстве. Разработчики залатали брешь в свежей версии программы, вышедшей 8 февраля.

Экспертов заинтересовала статья Zero Day Initiative об уязвимостях в программах, созданных на базе фреймворка Electron. Специалисты выяснили, что все они связаны с обработчиками идентификаторов URI, позволяющих создавать специализированные ссылки для выполнения материнского приложения с определенными параметрами. Аналитики решили выяснить, присутствуют ли подобные бреши в других разработках, применяющих этот механизм.

В своем отчете Девинь и Четиуи указывают, что для запуска программы и подключения ее к определенному серверу используются ссылки вида irc://, ircs:// и mircurl://, каждая из которых может содержать адрес и дополнительные параметры. Чтобы предотвратить инъекции вредоносного кода, некоторые IRC-клиенты используют специальные символы, отмечающие конец командной строки и начало списка аргументов. Например, в мессенджере Discord для этих целей служат два дефиса, однако в mIRC подобных ограничителей нет.

Используя этот недостаток, злоумышленник может создать собственный IRC-сервер, заставить жертву подключиться к нему через специальную ссылку и удаленно выполнить на целевом устройстве собственный код. В опубликованном PoC-эксплойте исследователи запускают на компьютере пользователя программу-калькулятор, однако такой сценарий атаки дает нападающим возможность загружать вредоносные файлы, устанавливать программы и выполнять другие действия.

Брешь, зарегистрированная как CVE-2019-6453, затрагивает все версии mIRC ниже 7.55, вышедшей в начале февраля. Эксплуатация бага зависит от браузера, через который открывается вредоносная ссылка, — эксперты отмечают, что в среде Chrome подобная атака невозможна. Они рекомендуют пользователям уязвимого клиента как можно скорее установить последний релиз программы, доступный на сайте разработчика.

Протокол IRC, созданный в 1988 году, в настоящее время нечасто используется для общения между пользователями, однако активно применяется для управления IoT-устройствами. Так, ботнет румынской группировки Outlaw контролируется при помощи команд в этом формате. Как выяснили ИБ-эксперты, клиент вредоносной сети написан на языке Perl и позволяет проводить DDoS-атаки, загружать файлы в целевые системы и выполнять поиск незащищенных портов.

Источник: https://threatpost.ru/mirc-patches-rce-vulnerability/31248/