L Vědci společnosti Check Point nedávno odhalili na konferenci DEF s podrobnostmi nové techniky, která byla objevena, toto se používá strK útoku na aplikace, které používají zranitelné verze SQLite.
Metoda Check Point považuje databázové soubory za příležitost integrovat scénáře zneužití zranitelnosti v různých interních subsystémech SQLite, které nejsou přístupné pro využití na čele. Vědci také vyvinuli techniku zneužití zranitelností s využitím kódování ve formě řetězce dotazů SELECT v databázi SQLite, která umožňuje vyhnout se ASLR.
O zranitelnosti
Vědci z Check Pointu to podrobně popisují pro úspěšný útok musí být útočník schopen upravit databázové soubory napadených aplikací, což omezuje metodu útoku na aplikace, které používají databáze SQLite jako formát pro přenos a vstupní data.
Ačkoli také zveřejňují, že tuto metodu lze také použít k rozšíření již získaného místního přístupu, například k integraci skrytých zadních dveří do použitých aplikací, stejně jako k zamezení bezpečnostním výzkumníkům při analýze malwaru.
Operace po zosobnění souboru se provádí v době, kdy aplikace provede první požadavek SELECT na tabulku v upravené databázi.
Jako příklad byla prokázána schopnost spouštět kód v systému iOS při otevírání adresáře, soubor s databází «AddressBook.sqlitedb»Který byl upraven pomocí navrhované metody.
Za útok ve funkci fts3_tokenizer byla použita chyba zabezpečení (CVE-2019-8602, schopnost dereference ukazatele), opraveno v dubnové aktualizaci SQLite 2.28, spolu s další chybou zabezpečení při implementaci funkcí okna.
Navíc, demonstruje použití metody pro vzdálené ovládání zabavení backendového serveru útočníkům napsaným v PHP, který shromažďuje zachycená hesla během operace škodlivého kódu (zachycená hesla byla přenesena ve formě databáze SQLite).
Metoda útoku je založena na použití dvou technik, Únos dotazů a Programování orientovaných na dotazy, které umožňují zneužití libovolných problémů, které vedou k poškození paměti v motoru SQLite.
Podstatou „Únos dotazu“ je nahradit obsah pole „sql“ v tabulce služeb sqlite_master, která definuje strukturu databáze. Zadané pole obsahuje blok DDL (Data Definition Language) používaný k popisu struktury objektů v databázi.
Popis je nastaven pomocí normální syntaxe SQL, tj. Konstrukci „CREATE TABLE“, která se provádí během inicializace databáze (při prvním spuštění funkce sqlite3LocateTable), se používá k vytvoření interních struktur přidružených k tabulce v paměti.
Myšlenka je, že v důsledku nahrazení „CREATE TABLE“ a „CREATE VIEW, je možné ovládat jakýkoli přístup do databáze prostřednictvím definice jejího pohledu.
Na druhou stranu je pomocí příkazu „CREATE VIEW“ k tabulce připojena operace „SELECT“, která bude volána místo „CREATE TABLE“ a umožní útočníkovi přístup k různým částem tlumočníka SQLite.
Kromě toho by nejjednodušším způsobem útoku bylo volání funkce „load_extension“, která umožňuje útočníkovi načíst libovolnou knihovnu s příponou, ale tato funkce je ve výchozím nastavení zakázána.
K provedení útoku za podmínek schopnosti provést operaci SELECT byla navržena technika programování orientovaná na dotazy, která umožňuje využívat problémy v SQLite, které vedou k poškození paměti.
Tato technika připomíná Return Oriented Programming (ROP), ale používá neexistující úryvky strojového kódu, ale je vložena do sady poddotazů v rámci SELECT k vytvoření řetězce volání („gadgets“).
zdroj: https://threatpost.com/