Лос Изследователите от Check Point наскоро разкриха в конференцията DEF с подробности на нова техника, която беше открита, това се използва стрДа атакува приложения, които използват уязвими версии на SQLite.
Методът Check Point разглежда файловете на базата данни като възможност за интегриране на сценарии за използване на уязвимости в различни вътрешни подсистеми на SQLite, които не са достъпни за експлоатация на челото. Изследователите също така разработиха техника за експлоатация на уязвимости с експлойт кодиране под формата на низ от заявки SELECT в база данни на SQLite, което позволява да се избегне ASLR.
Относно уязвимостта
Изследователите от Check Point подробно описват това за успешна атака нападателят трябва да може да модифицира файловете на базата данни на атакуваните приложения, което ограничава метода за атака на приложения, които използват бази данни SQLite като формат за транзитни и входни данни.
Все пак те също така разкриват, че методът може да се използва и за разширяване на вече получения локален достъп, например за интегриране на скрити задни врати в използваните приложения, както и за избягване на изследователите по сигурността при анализ на злонамерен софтуер.
Операцията след представянето на файла се извършва по времето, когато приложението изпълнява първата заявка SELECT към таблицата в модифицираната база данни.
Като пример беше демонстрирана възможността за стартиране на код на iOS при отваряне на адресната книга, файлът с базата данни «Адресна книга.sqlitedb»Която е модифицирана с помощта на предложения метод.
За атаката, бе използвана уязвимост във функцията fts3_tokenizer (CVE-2019-8602, възможността за пренасочване на указател), фиксирана в актуализацията на SQLite 2.28 от април, заедно с друга уязвимост при изпълнението на прозоречните функции.
Освен това, демонстрира използването на метода за дистанционно изземване на бекенд сървър от нападатели, написани на PHP, който натрупва прихванати пароли по време на работа на злонамерен код (прихванатите пароли са прехвърлени под формата на база данни на SQLite).
Методът за атака се основава на използването на две техники, Отвличане на заявки и Програмиране, ориентирано към заявки, които позволяват да се използват произволни проблеми, които водят до повреда на паметта в механизма на SQLite.
Същността на „Отвличане на заявки“ е да замени съдържанието на полето „sql“ в сервизната таблица sqlite_master, която определя структурата на базата данни. Посоченото поле съдържа блока DDL (Data Definition Language), използван за описание на структурата на обектите в базата данни.
Описанието се задава с помощта на нормален синтаксис на SQL, т.е. Конструктът "CREATE TABLE", който се изпълнява по време на инициализация на база данни (по време на първото изпълнение на функцията sqlite3LocateTable) се използва за създаване на вътрешни структури, свързани с таблицата в паметта.
Идеята е, че в резултат на замяна на „СЪЗДАЙТЕ МАСА“ и „СЪЗДАЙТЕ ВИЖ, възможно е да се контролира всеки достъп до базата данни чрез дефиницията на нейния изглед.
От друга страна, използвайки командата „CREATE VIEW“, към таблицата е прикрепена операция „SELECT“, която ще бъде извикана вместо „CREATE TABLE“ и позволява на атакуващия достъп до различни части на интерпретатора на SQLite.
Освен това най-лесният начин за атака би бил да се извика функцията "load_extension", която позволява на нападателя да може да зареди произволна библиотека с разширението, но тази функция е деактивирана по подразбиране.
За да се извърши атака при условията на възможността за извършване на операцията SELECT, беше предложена техниката на програмиране, ориентирано към заявки, което позволява да се използват проблеми в SQLite, които водят до повреда на паметта.
Техниката напомня на Ориентирано към връщане програмиране (ROP), но използва несъществуващи фрагменти на машинен код, но се вмъква в набор от подзаявки в рамките на SELECT, за да се изгради верига от повиквания ("джаджи").
Fuente: https://threatpost.com/