Otra vulnerabilidad más: esta, en el compresor de archivos de KDE
Hablábamos ayer de BootHole, una vulnerabilidad que afectaba al cargador de arranque del sistema y hoy lo hacemos de… a esta no le han puesto nombre, pero siguiendo el estilo de este que todos conocemos podría llamarse algo así como… ¿dArkHole? Y es que hablamos de una vulnerabilidad en Ark, el compresor de archivos de KDE.
Al igual que ayer, os adelantamos que el problema ha sido corregido, aunque es posible que el parche no le haya llegado todavía al grueso de los usuarios del escritorio; y también que es un tanto rebuscado. A diferencia de ayer, no obstante, hay que decir que este parece explotable sin acceso físico al equipo, si bien las circunstancias que requerirían que un atacante le saque provecho, son bastante remotas.
Por si alguien se ha perdido, Ark es la aplicación de compresión y descompresión de archivos del escritorio y está instalada por defecto en cualquier distribución que utilice KDE Plasma. Es una de esas utilidades básicas a las que casi nunca prestamos atención, pero que siempre están ahí cuando se las necesita. Ark, además, ha mejorado mucho en los últimos años.
Pues bien: resulta que Ark tenía una vulnerabilidad en su código por la cual es posible derivar un archivo descomprimido a la ruta que se desee, siempre que se tengan permisos de escritura en disco. Y como Ark es una aplicación de usuario final, el ámbito de actuación de este ataque se reduce a su propio espacio de usuario… Pero al más estricto, donde este tiene permisos de escritura.
Así, el vector de ataque más plausible según el descubridor de la vulnerabilidad sería descomprimir el archivo malicioso en el directorio de autoarranque donde se incluyen los lanzadores de las aplicaciones que se inician con la sesión, de manera que una vez el usuario reiniciase el sistema, el archivo de marras se ejecutase automáticamente. En BleepingComputer, el medio que ha cubierto la noticia, han publicado un vídeo demostrando el problema.
En principio parece una tontería, pero no lo es. Dicen en el artículo que «el atacante puede crear arranques automáticos que inicien automáticamente programas que podrían cifrar los archivos de un usuario con ransomware, instalar mineros o instalar puertas traseras que brinden a los atacantes remotos acceso a la cuenta de la víctima». Suena mal, sin duda. ¿Cómo funcionaría en el mundo real este ataque?
Poniéndonos en la peor situación posible, digamos que descargas un archivo comprimido de dudoso origen y lo descomprimes directamente en tu directorio personal, donde podrás ver todo el contenido excepto por un archivo. Cuando vuelvas a reiniciar el sistema o la sesión, se ejecutará automáticamente un script que no puede infectarte el sistema a nivel de raíz (a no ser que te pidiera permiso… y tú se lo dieras), pero sí que puede cifrar tus archivos con ransomware, instalar diferente tipo de malware o intentar explotar otra vulnerabilidad conocida que exista en el software del sistema con una puerta trasera.
¿A que se te han quitado las ganas de descomprimir archivos? No debería. Primero, porque se trata de una vulnerabilidad de la que no se tenía constancia hasta ahora y sería raro que se esté explotando. Según cuentan, fue reportada el 20 de julio y no se dio a conocer hasta ayer, cuando el parche ya estaba listo.
Y segundo, porque el parche ya está listo… y llegará a todos los usuarios de KDE con la actualización de Ark 20.08 que se espera como parte de la nueva versión de KDE Applications que se lanzará el próximo 13 de agosto, pero también a quienes usan versiones anteriores (dependerá de la distribución, pero las grandes y sus derivadas lo recibirán seguro).
Con todo, antes de descomprimir cualquier archivo directamente -mediante el menú contextual del gestor de archivos- es conveniente abrirlo en Ark y previsualizar su contenido. Pero no por este particular, sino en cualquier caso y sin importar el escritorio o sistema que utilices. Esto es básico y en este particular, una forma de evitar todo riesgo.