undefined Vedci z Check Point nedávno odhalili na konferencii DEF s podrobnosťami novej techniky, ktorá bola objavená, toto sa používa strÚtočiť na aplikácie, ktoré používajú zraniteľné verzie servera SQLite.
Metóda Spoločnosť Check Point považuje databázové súbory za príležitosť na integráciu scenárov zneužitia zraniteľnosti v rôznych interných subsystémoch SQLite, ktoré nie sú prístupné pre využitie na čele. Vedci taktiež vyvinuli techniku na zneužitie zraniteľnosti s využitím kódovania vo forme reťazca dotazov SELECT v databáze SQLite, ktorá umožňuje vyhnúť sa ASLR.
O zraniteľnosti
Vedci z Check Pointu to podrobne popisujú Pre úspešný útok musí byť útočník schopný upraviť databázové súbory napadnutých aplikácií, ktorá obmedzuje metódu útoku na aplikácie, ktoré používajú databázy SQLite ako formát pre tranzitné a vstupné údaje.
Predsa tiež zverejňujú, že túto metódu je možné použiť aj na rozšírenie už získaného miestneho prístupu, napríklad integrovať skryté zadné vrátka do použitých aplikácií, ako aj vyhnúť sa bezpečnostným výskumníkom pri analýze škodlivého softvéru.
Operácia po zosobnení súboru sa vykoná v čase, keď aplikácia vykoná prvú požiadavku SELECT na tabuľku v upravenej databáze.
Ako príklad bola demonštrovaná schopnosť spúšťať kód v systéme iOS pri otvorení adresára, súbor s databázou «AddressBook.sqlitedb»Ktoré boli upravené pomocou navrhovanej metódy.
Za útok vo funkcii fts3_tokenizer bola použitá zraniteľnosť (CVE-2019-8602, schopnosť dereferencie ukazovateľa), opravená v aprílovej aktualizácii SQLite 2.28, spolu s ďalšou chybou zabezpečenia pri implementácii funkcií okna.
Okrem toho, demonštruje použitie metódy na zabavenie servera typu backend vzdialeným útočníkom napísané v PHP, ktorá zhromažďuje zachytené heslá počas operácie so škodlivým kódom (zachytené heslá boli prenesené vo forme databázy SQLite).
Metóda útoku je založená na použití dvoch techník, Query Hijacking a Query Oriented Programming, ktoré umožňujú zneužitie ľubovoľných problémov, ktoré vedú k poškodeniu pamäte v jadre SQLite.
Podstatou produktu „Únos dotazu“ je nahradiť obsah poľa „sql“ v tabuľke služieb sqlite_master, ktorá definuje štruktúru databázy. Zadané pole obsahuje blok DDL (Data Definition Language), ktorý sa používa na popis štruktúry objektov v databáze.
Popis je nastavený pomocou normálnej syntaxe SQL, tj. Konštrukt "CREATE TABLE", ktorý sa vykonáva počas inicializácie databázy (počas prvého spustenia funkcie sqlite3LocateTable), sa používa na vytvorenie vnútorných štruktúr spojených s tabuľkou v pamäti.
Myšlienka je taká, že v dôsledku nahradenia výrazov „CREATE TABLE“ a „CREATE VIEW, je možné riadiť akýkoľvek prístup do databázy prostredníctvom definície jej pohľadu.
Na druhej strane je pomocou príkazu „CREATE VIEW“ k tabuľke pripojená operácia „SELECT“, ktorá sa bude volať namiesto „CREATE TABLE“ a umožní útočníkovi prístup k rôznym častiam tlmočníka SQLite.
Okrem toho by bolo najjednoduchším spôsobom útoku zavolať funkciu „load_extension“, ktorá umožňuje útočníkovi načítať ľubovoľnú knižnicu s príponou, ale táto funkcia je v predvolenom nastavení zakázaná.
Na vykonanie útoku v podmienkach schopnosti vykonať operáciu SELECT bola navrhnutá technika programovania orientovaná na dotazy, ktorá umožňuje využívať problémy v SQLite, ktoré vedú k poškodeniu pamäte.
Táto technika pripomína návratovo orientované programovanie (ROP), ale využíva neexistujúce úryvky strojového kódu, ale je vložená do množiny poddotazov v rámci SELECT na vytvorenie reťazca hovorov („gadgets“).
Fuente: https://threatpost.com/