Das Stremio Team veröffentlichte einen Blog-Beitrag , in dem es erklärte, dass es einen Bericht von CyFox erhalten habe, diesen jedoch für nicht gültig hielte und sich daher dazu entschlossen habe, nicht darauf zu reagieren.
Unser Standpunkt: Dies ist kein Stremio Sicherheitsproblem, sondern eher ein Windows-Sicherheitsproblem, und aufgrund der Art und Weise, wie der Exploit verwendet wird, kann er auch bei den meisten Windows-Apps verwendet werden, nicht nur bei Stremio.
Forscher von CyFox haben in der beliebten Media-Center-Anwendung Stremio eine Schwachstelle zum Einschleusen/Entführen von DLLs entdeckt, die von Angreifern ausgenutzt werden könnte, um Code auf dem System des Opfers auszuführen, Informationen zu stehlen und mehr.
Über die Sicherheitslücke
DLLs (Dynamic Link Libraries) sind Dateien, die dynamisch verknüpft und gleichzeitig von mehreren Programmen gemeinsam genutzt werden können. Sie sind für Windows und viele Anwendungen (einschließlich Stremio) von entscheidender Bedeutung.
„Sie enthalten Standardfunktionen, die von verschiedenen Anwendungen gemeinsam genutzt werden, wodurch Code-Duplikationen vermieden und die Größe ausführbarer Dateien verringert werden. Darüber hinaus gewähren DLLs Zugriff auf Systemressourcen wie Geräte-Divers, Grafikverarbeitung und Netzwerk. Dieser modulare Ansatz optimiert die Speicherverwaltung, indem DLLs bei Bedarf in den Speicher geladen werden, wodurch der Speicherbedarf laufender Anwendungen minimiert wird“, erklärten die Forscher von CyFox .
DLLs stellen einen Großteil der Windows-Funktionalität bereit. Wenn ein Benutzer ein Programm unter Windows ausführt, sucht und verwendet das Programm die DLLs, die es benötigt, um wie vorgesehen ausgeführt zu werden.
Die von den Forschern entdeckte Sicherheitslücke betrifft Stremio für Windows v4.4.
Es entsteht durch die Verwendung zweier Windows-API-Funktionen, LoadLibraryA und LoadLibraryExA. Letztere ermöglicht es Angreifern, schädliche DLLs im Anwendungsverzeichnis zu platzieren.
Sie identifizierten außerdem vier anfällige DLL-Dateien: SspiCli.dll , RTWorkQ.dll , profapi.dll und UMPDC.dll .
Sie verwendeten Msfvenom, um eine bösartige DLL-Datei zu erstellen, die eine Reverse Shell erstellt. Nachdem sie diese erfolgreich auf das Remote-Ziel übertragen hatten, benannten sie sie in UMPDC.dll um und platzierten sie im Verzeichnis C:\Users\%username%\Local\Programs\LNV\Stremio-4\ path .
Wenn ein Angreifer weiß, dass eine anfällige Stremio-Version auf dem System installiert ist, kann er eine DLL-Datei programmieren, die bei jedem Einschalten des Systems unbefugten Zugriff erhält. Und wenn der Benutzer die Stremio-Software mit Administratorrechten ausführt, kann der Angreifer dieselben Rechte wie der Benutzer erhalten.
Mögliche Angriffe
Nir Yehoshua, Chefforscher und Teamleiter bei CyFox, erklärt, dass sich ein Angreifer, um diese DLL-Planting-/Hijacking-Schwachstelle auszunutzen, zunächst unbefugten Zugriff auf das System des Opfers verschaffen muss, damit er die schädliche DLL-Datei in den Pfad der Software übertragen und dann darauf warten kann, dass der Benutzer die anfällige Software ausführt.
„DLL-Hijacking-Schwachstellen stellen ein erhebliches Risiko dar, da sie es Angreifern ermöglichen, beliebigen Code mit den Berechtigungen der Zielanwendung auszuführen oder sogar ihre Berechtigungen im System zu erhöhen“, fügten die Forscher von CyFox hinzu.
Sie merkten an, dass DLL-Hijacking auch zum Diebstahl vertraulicher Informationen, zur Kompromittierung umfassenderer Systeme und zur Durchführung lateraler Bewegungen genutzt werden könne Siemens.
Yehoshua teilte Help Net Security mit, dass CyFox versucht habe, das Sicherheitsteam von Stremio zu erreichen, um ihm seine Entdeckung mitzuteilen, dass jedoch keine Antwort erfolgt sei.
„Es ist wichtig zu beachten, dass sie dreimal versucht haben, sie zu erreichen. Die fehlende Antwort bedeutet, dass der Anbieter kein Sicherheitsupdate veröffentlicht hat, das das Problem behebt. Da der Anbieter auf die Kommunikationsversuche von CyFox nicht reagiert hat und seit der ersten E-Mail 90 Tage vergangen sind, kann CyFox seine Ergebnisse veröffentlichen.“