Фахівці з кібербезпеки компанії SafeBreach виявили низку критичних вразливостей в популярній утиліті для обміну файлами Quick Share. Ці уразливості можуть бути використані зловмисниками для проведення атак “людина посередині” (MiTM) та несанкціонованої відправки файлів на пристрої під керуванням Windows без згоди користувача.
Що таке Quick Share і чому це важливо?
Quick Share – це утиліта для P2P-обміну файлами, доступна користувачам пристроїв на Android, Chrome та Windows. Вона дозволяє передавати файли на сумісні пристрої поблизу, використовуючи різні технології бездротового зв’язку, включаючи Bluetooth, Wi-Fi, Wi-Fi Direct, WebRTC та NFC. Спочатку розроблена для Android під назвою Nearby Share, утиліта була перейменована в Quick Share у січні 2024 року після об’єднання технологій Google та Samsung.
Виявлені вразливості та їх потенційні наслідки
Дослідники SafeBreach виявили 10 вразливостей у протоколі прикладного рівня Quick Share. Серед них:
- Дві помилки віддаленого несанкціонованого запису файлів у версіях для Windows та Android
- Вісім проблем у версії для Windows, пов’язаних з примусовим підключенням до Wi-Fi, віддаленим обходом каталогу та відмовою в обслуговуванні (DoS)
Ці вразливості дозволяють зловмисникам:
- Віддалено записувати файли на пристрій без дозволу користувача
- Викликати аварійне завершення роботи Windows-додатку
- Перенаправляти трафік на певну точку доступу Wi-Fi
- Здійснювати обхід шляхів та інші небезпечні дії
Технічні деталі вразливостей
Експерти SafeBreach виявили, що комунікаційний протокол Quick Share є надзвичайно універсальним, що дозволяє обходити діалогове вікно прийняття файлів у Windows (CVE-2024-38272). Це досягається шляхом відправки файлу у вступному пакеті без очікування відповіді accept. Більше того, ця вразливість працює в будь-якому режимі виявлення, навіть якщо пристрій налаштований на прийом файлів лише від контактів користувача.
Інша критична вразливість (CVE-2024-38271) дозволяє проводити MiTM-атаки шляхом використання точки доступу Wi-Fi HotSpot для оновлення з’єднання між пристроями. Дослідники змогли отримати постійне з’єднання для проведення MiTM-атак, викликавши аварійне завершення роботи Quick Share на пристрої-відповідачі після його підключення до точки доступу Wi-Fi.
Ланцюжок атаки для віддаленого виконання коду
Експерти SafeBreach продемонстрували можливість створення ланцюжка атаки для віддаленого виконання коду (RCE) з використанням виявлених вразливостей. Ця атака включає:
- Використання MiTM-атаки для визначення моменту завантаження виконуваних файлів через браузер
- Застосування вразливості обходу шляху для перезапису легітимного виконуваного файлу шкідливим
- Експлуатацію запланованого завдання Quick Share, яке перевіряє та запускає додаток кожні 15 хвилин
Заходи з усунення вразливостей та рекомендації
Google вже випустила оновлення безпеки (версія 1.0.1724.0), яке усуває виявлені вразливості. Вразливостям присвоєно ідентифікатори CVE-2024-38271 (5,9 балів за шкалою CVSS) та CVE-2024-38272 (7,1 балів за шкалою CVSS). Користувачам Quick Share наполегливо рекомендується негайно оновити програмне забезпечення до останньої версії.
Ця ситуація підкреслює важливість регулярного оновлення програмного забезпечення та застосування багаторівневого підходу до кібербезпеки. Організаціям та приватним користувачам слід бути пильними, використовувати надійні антивірусні рішення та дотримуватися принципів безпечного обміну файлами, особливо при використанні публічних Wi-Fi мереж.