Pesquisadores do Check Point revelaram um novo vetor de ataque que ameaça milhões de usuários no mundo inteiro – ataque por legendas. Ao elaborar arquivos de legendas maliciosos, que são então transferidos pelo player de mídia da vítima, os atacantes podem assumir o controle completo sobre qualquer tipo de dispositivo através de vulnerabilidades encontradas em muitas plataformas de streaming populares, incluindo VLC, Kodi (XBMC), Pop-Time e Strem.io . Estimamos que existam cerca de 200 milhões de players de vídeo e flâmulas que atualmente executam o software vulnerável, tornando este um dos a vulnerabilidade mais comum, de fácil acesso e zero resistência relatados nos últimos anos.

O que é isso?

Os perpetradores usam vários métodos, também chamados de “vetores de ataque”, para entregar ataques cibernéticos. Esses vetores de ataque podem ser divididos em duas categorias principais: Ou o invasor persuade o usuário a visitar um site malicioso, ou ele o engana na execução de um arquivo malicioso em seu computador.
Nossa pesquisa revela um novo vetor de ataque possível, usando uma técnica completamente negligenciada em que o cyberattaque é entregue quando as legendas de filme são carregadas pelo player de mídia do usuário. Esses repositórios de legendas são, na prática, tratados como uma fonte confiável pelo usuário ou reprodutor de mídia; Nossa pesquisa também revela que esses repositórios podem ser manipulados e ser feito para premiar as legendas maliciosas do atacante uma pontuação alta, o que resulta em subtítulos específicos que são servidos ao usuário. Este método requer pouca ou nenhuma ação deliberada por parte do usuário, tornando-o ainda mais perigoso.
Ao contrário dos vetores de ataque tradicionais, que as empresas de segurança e os usuários estão amplamente cientes, legendas de filmes são percebidos como nada mais do que arquivos de texto benigno. Isso significa que os usuários, o software antivírus e outras soluções de segurança os examinam sem tentar avaliar sua real natureza, deixando milhões de usuários expostos a esse risco.

Qual é a causa raiz?

O vetor de ataque depende muito do mau estado de segurança na maneira como vários players de mídia processam arquivos de subtítulos e o grande número de formatos de legendas. Para começar, existem mais de 25 formatos de legendas em uso, cada um com recursos e recursos exclusivos. Os players de mídia geralmente precisam analisar vários formatos de subtítulos para garantir cobertura e proporcionar uma melhor experiência ao usuário, com cada reprodutor de mídia usando um método diferente. Como outras situações semelhantes que envolvem software fragmentado, isso resulta em várias vulnerabilidades distintas.

Qual é o efeito?

Escopo:  O número total de usuários afetados é de centenas de milhões. Cada um dos media players encontrados vulneráveis ​​até à data tem milhões de usuários, e acreditamos que outros players de mídia também podem ser vulneráveis ​​a ataques semelhantes. A Kodi (XBMC) alcançou mais de 10 milhões de usuários únicos por dia, e quase 40 milhões de usuários únicos por mês. A VLC tem mais de 170 milhões de downloads de sua versão mais recente, lançada em 5 de junho de 2016 . Não existem estimativas atuais para o uso de Popcorn Time, mas é seguro assumir que o número é igualmente nos milhões.

Danos:  Ao realizar ataques através de legendas, os hackers podem assumir total controle sobre qualquer dispositivo que os execute. A partir deste ponto, o atacante pode fazer o que quiser com a máquina da vítima, seja um PC, uma TV inteligente ou um dispositivo móvel. O dano potencial que o atacante pode infligir é infinito, variando em qualquer lugar de roubar informações confidenciais, instalar ransomware, ataques de Negação de Serviço em massa e muito mais.

Quais players de mídia são afetados?

Até à data, nós testamos e descobrimos vulnerabilidades em quatro dos mais importantes players de mídia: VLC, Kodi, Popcorn Time e Stremio. Temos razões para acreditar que existem vulnerabilidades semelhantes em outros players de mídia. Seguimos as diretrizes de divulgação responsáveis ​​e relatamos todas as vulnerabilidades e explorações para os desenvolvedores dos players de mídia vulneráveis. Alguns dos problemas já foram corrigidos, enquanto outros ainda estão sob investigação. Para permitir que os desenvolvedores tenham mais tempo para resolver as vulnerabilidades, decidimos não publicar mais detalhes técnicos neste momento.

Atualização de plataformas:

PopcornTime – Criou uma versão fixa, mas ainda não está disponível para download no site oficial.
A versão fixa pode ser transferida manualmente através do seguinte link: https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249
Kodi – Criou uma versão corrigida, que atualmente está disponível apenas como versão de código-fonte. Esta versão ainda não está disponível para download no site oficial.
Link para a correção do código-fonte está disponível aqui:  https://github.com/xbmc/xbmc/pull/12024
VLC – Oficialmente fixo e disponível para download em seu site
Link:  http://get.videolan.org/vlc/2.2.5.1/win32/vlc-2.2.5.1-win32.exe
Stremio – Oficialmente Fixo e avilable para download em seu site
Link:  https://www.strem.io/
IPS Assinaturas:

Popcorn Time Subtitles Execução Remota de Código
Kodi Open Subtitles Addon Execução Remota de Código
VLC ParseJSS Nulo Saltar Legenda Execução Remota de Código
Legendas Stremio Remote Code Execution
Como este vetor de ataque pode se espalhar?

Prosseguir ainda mais na cadeia de suprimentos produziu alguns resultados interessantes. Existem vários repositórios on-line compartilhados, como o OpenSubtitles.org, que indexam e classificam legendas de filmes. Alguns players de mídia baixam legendas automaticamente; Esses repositórios possuem um potencial extenso para atacantes. Nossos pesquisadores também foram capazes de mostrar que, manipulando o algoritmo de classificação do site, poderíamos garantir legendas maliciosas crafted seria aqueles baixados automaticamente pelo media player, permitindo que um hacker para assumir o controle total sobre toda a cadeia de fornecimento de legendas, sem recorrer a um homem No ataque Médio ou requerem interação do usuário. Esta vulnerabilidade afeta também os usuários que usam esses rankings para decidir quais as legendas a serem baixadas manualmente.

Abaixo está um vídeo de prova de conceito, demonstrando como um invasor pode usar legendas maliciosas para assumir a sua máquina.