Notícias de dispositivos móveis, gadgets, aplicativos Android

Dropbox não corrigido para Windows Bug de dia zero permite que hackers obtenham privilégios de sistema

Dropbox

Uma vulnerabilidade de dia zero no Dropbox para Windows permite que invasores escalem privilégios de simples windows privilégio de usuários para o privilégio reservado SYSTEM.

A vulnerabilidade reside no Serviço DropBoxUpdater, responsável por manter o aplicativo cliente atualizado.

Vulnerabilidade no Atualizador do Dropbox

A vulnerabilidade foi descoberta pelos pesquisadores de segurança Decoder e Chris Danieli e eles criaram um PoC para testar a vulnerabilidade.

O DropBoxUpdater é o componente do pacote Dropbox Client Software, o atualizador instalado como um serviço e mantém 2 tarefas agendadas em execução com permissões do sistema.

Dropbox

O Dropboxupdate grava os arquivos de log no diretório “c: ProgramData Dropbox Update Log”, qualquer usuário pode acessar os diretórios ou, para adicionar, excluir os arquivos.

Dropbox

Outra coisa notável é que a chamada SetSecurity feita por meio de privilégios de sistema nos arquivos, permite que um invasor explore através do hardlink.

“Mas temos um problema aqui, temos que” adivinhar “o nome do arquivo de log, que é a hora exata (incluindo milissegundos) e o PID do processo de atualização”, disseram os pesquisadores.

Os pesquisadores forneceram detalhes da vulnerabilidade em 18 de setembro e o Dropbox disse que a vulnerabilidade será corrigida antes do final de outubro. Há 90 dias, os pesquisadores publicaram um post com os detalhes.

MicroPath

A 0Patch publicou um micropatch para corrigir a vulnerabilidade, “decidimos que a correção mais confiável seria simplesmente cortar o código de gravação de log do DropBox Updater”.

O micropatch é fornecido gratuitamente, para que qualquer pessoa que instale e registre o 0patch Agent o obtenha e o aplique imediatamente no aplicativo DropBox.

Nós recomendamos:  Prepare seu site para a temporada de compras natalinas

O Dropbox é um serviço de hospedagem de arquivos que oferece armazenamento em nuvem, sincronização de arquivos, nuvem pessoal e software cliente. Foi fundada em junho de 2007 e possui mais de 500 milhões de usuários.

Você pode nos seguir no Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética e hackers