La firma de seguridad CheckPoint ha descubierto un novedoso vector de ataque que permitiría infectar con
malware a millones de usuarios de algunos de los reproductores multimedia más populares aprovechando una serie de vulnerabilidades hasta ahora inéditas. De forma más concreta, los usuarios de plataformas como VLC, Kodi, Popcorn Time y Stremio están expuestos a que terceras personas tomen el control de sus ordenadores y dispositivos de reproducción utilizando archivos de subtítulos maliciosos.
De forma más concreta, los programas de reproducción multimedia analizados por CheckPoint hacen posible descargar de forma automática archivos de subtítulos aparentemente inocuos pero que en realidad contienen código diseñado para infectar el sistema. A partir de aquí las puertas quedan abiertas para los crackers, pudiendo aprovechar este vector de ataque para inyectar
ransomware y secuestrar el equipo, acceder a información personal o lanzar
ataques de denegación de servicio.
Estimamos que hay aproximadamente 200 millones de reproductores de vídeo y streamers que actualmente ejecutan el software vulnerable, lo que hace de esta una de las vulnerabilidades de resistencia nula más extendidas y más fáciles de acceder de las reportadas en los últimos años.
...
Estos repositorios de subtítulos son, en la práctica, tratados como una fuente de confianza por el usuario o el reproductor multimedia; nuestra investigación también revela que estos dispositivos pueden ser manipulados para proporcionar a los subtítulos del atacante una mayor puntuación, lo que resulta en que estos subtítulos específicos son enviados al usuario. Este método requiere de poca a escasa intervención deliberada por parte del usuario, lo que hace que sea especialmente peligroso.
A diferencia de otros vectores tradicionales de ataque de los que son plenamente conscientes las firmas de seguridad y usuarios, los subtítulos de las películas solo son percibidos como archivos de texto benignos. Esto significa que los usuarios, el software antivirus y otras soluciones de seguridad los pasan por alto sin intentar juzgar su naturaleza real, dejando a millones de usuarios expuestos a este riesgo.
Este tipo de ataque no sería posible de no ser por la falta de seguridad de los repositorios desde donde se descargan los subtítulos, que en la mayor parte de los casos son confeccionados sin ánimo de lucro por la comunidad de usuarios y son subidos y descargados sin control alguno más allá de un sistema de reputación basado en votos.
CheckPoint no ha facilitado públicamente los detalles más técnicos que hacen posible explotar estas vulnerabilidades en el manejo de los subtítulos, optando por dar más tiempo a los desarrolladores para que puedan parchear sus aplicaciones. Los reproductores ya mencionados fueron avisados con antelación y ya han lanzado versiones actualizadas para prevenir este tipo de ataques, así que es recomendable comprobar si las instalaciones ya están puestas al día.
Fuente: CheckPoint