Компрометация базы данных SQLite позволяет выполнять вредоносный код
12/08/19
По словам исследователей из Check Point, злоумышленники могут использовать базу данных SQLite как вектор атаки для выполнения вредоносного кода в других приложениях, в том числе от Apple. Техника атаки была продемонстрирована на конференции по безопасности DEF CON в Лас-Вегасе.
Исследователи проэксплуатировали незадокументированные функции и уязвимости повреждения памяти в SQLite3 с целью создать мошенническую базу данных SQLite и получить доступ к другому программному обеспечению. Эксперты разработали методы Query Hijacking и Query Oriented Programming для вызова вышеуказанных проблем в SQLite. В качестве примера эксплуатации уязвимости исследователь Омер Гулл (Omer Gull) в первой ситуации продемонстрировал взлом C&C-сервера вредоносного ПО для кражи паролей, а во второй добился персистенции на iOS-устройстве с повышенными привилегиями.
Атака эксплуатирует уязвимости в процессе, реализованном сторонними приложениями, для чтения баз данных SQLite. Экспертам на примере iMessage удалось внедрить вредоносный код в базу данных SQLite, используемой сторонними приложениями, а затем выполнить его. Злоумышленник способен заменить или отредактировать файл «AddressBook.sqlitedb», внедряя вредоносное ПО в адресную книгу iPhone. Когда iMessage запросит этот файл SQLite, он запустит выполнение вредоносного кода и позволит вредоносному ПО получить персистентность на устройстве.
Эксперты сообщили об обнаруженных уязвимостях Apple, и проблемы были обозначены как CVE-2019-8600, CVE-2019-8598, CVE-2019-8602 и CVE-2019-8577.