Investigadores de seguridad han revelado que las bases de datos SQLite pueden modificarse de tal manera que ejecuten código malicioso dentro de otras aplicaciones que dependen de ellas para almacenar datos.
En demostraciones presentadas en la conferencia de seguridad DEF CON en Las Vegas, el investigador de seguridad de Check Point, Omer Gull, mostró demostraciones de una base de datos SQLite contaminada que secuestra el servidor de comando y control de una operación de malware, y malware que utiliza SQLite para lograr la persistencia en dispositivos iOS.
La idea es que las vulnerabilidades en la forma en que las aplicaciones de terceros leen datos de bases de datos SQLite permiten que un tercero oculte código malicioso en los datos de la base de datos SQLite.
Cuando la aplicación de terceros, como iMessage, lee la base de datos SQLite contaminada, también ejecuta inadvertidamente el código oculto.
En la demostración de iMessage que presentó en DEF CON, Gull mostró cómo el malware o un actor de amenazas que logra reemplazar o editar el archivo "AddressBook.sqlitedb" puede insertar código malicioso dentro de la libreta de direcciones de un iPhone.
Cuando iMessage consulta este archivo SQLite, que iMessage hace a intervalos regulares, se ejecuta el código malicioso y permite que el malware gane persistencia de arranque en el dispositivo.
Si bien este escenario parece inverosímil, esto no es tan difícil como parece. Gull dijo que Apple no firma archivos de datos SQLite, por lo que reemplazar este archivo es trivial. Por lo tanto, un actor de amenazas tiene una forma simple que puede usar para obtener persistencia de arranque en dispositivos iPhone y macOS.
Por su parte, Apple emitió correcciones (CVE-2019-8600, CVE-2019-8598, CVE-2019-8602, CVE-2019-8577) para el vector de ataque SQLite en mayo, con macOS Mojave 10.14.5 , iOS 12.3 , tvOS 12.3 y watchOS 5.2.1 . Los usuarios que retrasaron la actualización de sus dispositivos siguen siendo vulnerables a este ataque.
LAS FALLAS DE SQLITE SE PUEDEN USAR PARA SECUESTRAR OPERACIONES DE MALWARE
Pero hay otros escenarios en los que estas vulnerabilidades se pueden usar para "bien". Esos casos están en contra del malware.
Por ejemplo, los navegadores almacenan datos de usuario y contraseñas dentro de bases de datos SQLite. Los malware dedicados al robo de información, están diseñados específicamente para robar estos archivos de datos de usuario de SQLite y cargar los archivos en un servidor remoto de comando y control (C&C).
Estos servidores C&C generalmente están codificados en PHP y funcionan analizando los archivos SQLite para extraer los datos del navegador del usuario para que puedan mostrarlos dentro del panel de control basado en la web del malware.
Gull dijo que, como en el caso del ataque de iMessage, las vulnerabilidades de SQLite se pueden usar para ejecutar código en los servidores C&C del malware y hacerse cargo de los sistemas de los delincuentes.
"Dado que SQLite está prácticamente integrado en casi cualquier plataforma, creemos que apenas hemos arañado la punta del iceberg cuando se trata de su potencial de explotación", dijo Gull.
Las aplicaciones que dependen de SQLite incluyen Skype, cualquier navegador web, cualquier dispositivo Android, cualquier instancia de iTunes, clientes de sincronización de Dropbox, sistemas multimedia para automóviles, televisores y decodificadores de cable, y muchas otras aplicaciones .
"Esperamos que la comunidad de seguridad tome esta investigación innovadora y las herramientas lanzadas y la impulse aún más".
