Hackeando plataformas de video a través del subtítulo

Los investigadores de Check Point Software Technologies han descubierto una falla de seguridad en varios reproductores multimedia (incluyendo VLC, Kodi, Stremio y PopcornTime) que permite a los hackers ejecutar código arbitrario a través de archivos de subtítulos.

El equipo de investigadores afirma que cada reproductor multimedia tiene una vulnerabilidad única que permite a un atacante remoto, ejecutar código y obtener el control total del sistema de la víctima. Con el reproductor VLC, los investigadores pudieron aprovechar una vulnerabilidad de corrupción de memoria, para obtener el control total del dispositivo.

¿Cuál es la causa raíz?

El vector de ataque depende en gran medida, a la forma insegura en que varios reproductores multimedia procesan los archivos de subtítulos y el gran número de formatos diferentes de subtítulos. Para empezar, hay más de 25 formatos de subtítulos en uso, cada uno con características y capacidades únicas, lo cual hace que se incremente el número de vectores de ataque.

Un escenario puede ser el siguiente:

  1. El atacante crea archivos de subtítulos que contengan códigos maliciosos
  2. El atacante puede subir los archivos a los repositorios de subtítulos y modificar el ranking de recomendación
  3. El usuario descarga el archivo de subtítulo y lo carga en el reproductor multimedia
  4. El reproductor multimedia interpreta el archivo de subtítulo y ejecuta comandos del sistema que permite comprometer el dispositivo, dándole el control remoto al atacante
Infografía — Hackeando Subtítulos

La gravedad del asunto es que alrededor de 200 millones de dispositivos incluyendo computadoras, teléfonos, tabletas y televisores, donde corren estos reproductores multimedia, podrían estar en grave riesgo si no se actualizan o corrigen inmediatamente.

Vulnerabilidades

Las vulnerabilidades fueron reportadas a cada uno de los fabricantes y afortunadamente, los parches de seguridad han sido liberados.

En el caso de VLC, el atacante puede aprovechar un error de corrupción de memoria que permite a su vez ejecutar código arbitrario. Se le reportaron cuatro (4) vulnerabilidades al reproductor VLC, las cuales puedes consultar en HowlerMonkey

VLC ParseJSS Null Skip Subtitle Remote Code Execution

Correcciones

La corrección para VLC está disponible con la última versión 2.2.5.1 que está presente en el sitio web de VideoLan.

La corrección para Stremio está disponible en su sitio web en la última versión del producto.

Tanto Popcorn Time, como Kodi, han creado una solución pero aún no se encuentra en las actualizaciones de los productos. Mientras tanto, existen unos fix para corregir manualmente.

Para Popcorn Time, puedes descargar la corrección manualmente usando el siguiente enlace: https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249 .

En Kodi puedes dirigirte a GitHub donde puedes encontrar una corrección para el código fuente. https://github.com/xbmc


Demostración

Echa un vistazo al siguiente vídeo para que veas en acción como se puede explotar la vulnerabilidad en PopcornTime y Kodi.

Demostración de explotación de vulnerabilidades