CVE-2019-3568: WhatsApp 0 day破绽剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

CVE-2019-3568: WhatsApp 0 day破绽剖析

申博_安全预警 申博 231次浏览 已收录 0个评论

概述

金融时报》(Financial Times)报导称进击者正运用WhatsApp的一个破绽向受害者手机注入以色列公司NSO Group开辟的先进特务软件。WhatsApp是最盛行的音讯运用之一,在全球有15亿用户。该公司的研究人员是在本月初发明这个缓冲溢出破绽的,编号为CVE-2019-3568的破绽存在于运用程序的VOIP客栈中,许可进击者向目的手机号码发送特制的SRTCP包完成长途实行代码。在iPhone或Android装备上该破绽能够经由过程WhatsApp呼唤功用举行运用。全部进击过程当中不需要用户交互,受害者并不需要接听电话,呼唤纪录一般也不会显现在日记里。

WhatsApp公司称已在上周五宣布的更新中修改了该破绽。加拿大多伦多大学国民实验室的研究人员称,在WhatsApp工程师忙于堵上破绽时有进击者运用该破绽针对了一名英国人权状师。关于进击者运用NSO Group的特务软件,该公司透露表现正在举行调查。

该破绽CVE编号为CVE-2019-3568,Check Point研究人员对该破绽举行了手艺剖析。

手艺细节

Facebook的平安发起形貌该破绽为SRTCP协定的缓冲区溢出破绽,以是研究人员起首对更新后的WhatsApp与之前版本举行差别剖析以找出修复的代码。终究研究人员发明了SRTCP模块中的两处代码补钉:

Size Check #1

修复的函数是重要的RTCP handler函数,增加的补钉就在刚开始的地位。增加的校验考证了长度参数的最大值为1480字节(0x5C8)。

CVE-2019-3568: WhatsApp 0 day破绽剖析

借助ProcessHollowing和代码注入感染合法进程:信息窃取恶意软件FormBook分析

概述 FormBook是一个信息窃取类型的恶意软件。与大多数其他信息窃取类恶意软件一样,它在部署到受害者的计算机上时,会执行许多操作来逃避反病毒厂商产品的检测。当然,正如我们在Ursnif、Hancitor、Dridex和其他木马中看到的那样,有许多变种可以通过多种方式接收Payload。 在过去的一年中,威胁行为者最常用的分发FormBook恶意软件的方法是借助恶意钓鱼邮件并利用CVE-2017-8570漏洞。具体而言,攻击者会使用包含恶意代码的.RTF格式文件来利用这一漏洞。 在本文中,我将重点关注恶意Payload,并详细分析该恶意软件的行为和IoC。 FormBook使用的反分析技术 首先,我们先从FormBook如何阻止恶意软件研究人员调试和分析恶意软件开始。我们参考了其他研究人员的分析成果,了解FormBook首先会遍历受害者主机上正在运行的进程。如果存在任何列入黑名单的进程,那么Payload将会停止感染计算机。 该恶意软件使用了大量的反分析技术,例如:黑名单中的进程列表、虚拟机检测机制、内存中字符串混淆等,这些都是为了避免配置中的memdump,从而防止被安全研究人员发现相关的字符串。 下面是本文中提到的一些列入黑名单中的进程。需要注意的是,除此之外,恶意软件还会查找VMWare和Paralle

研究人员在调试过程当中还确认这是RTCP模块中的重要函数,在WhatsApp语通话应对之前还会挪用。

Size Check #2

在下面两个函数的流之间研究人员发明新增加的处置惩罚搜检过程当中(蓝色标注),该长度变量被使用过两次:

1.考证package的长度域是不是凌驾长度;

2.在内存夫之前,搜检长度是不是小于即是1480。

CVE-2019-3568: WhatsApp 0 day破绽剖析

从中能够看出,第二个搜检包罗新增加的log字符串,这正式为了防备溢出而举行的搜检。

总结

WhatsApp运用程序中完成了庞杂的STRCP协定,并且是以原生代码C/C++的情势而不是Java代码的情势完成的。研究人员在剖析CVE-2019-3568破绽过程当中发明修复补钉实际上是2个新增加的size搜检,即在内存中剖析和处置惩罚收集包之前先举行巨细搜检以防备内存溢出。

由于SRTCP模块异常重大,新版本WhatsApp运用能够也有其他的补钉研究人员并没有注意到。但就现在状况来看,研究人员以为该模块中能够还存在其他的未知破绽。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明CVE-2019-3568: WhatsApp 0 day破绽剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址