WhatsApp corrigió silenciosamente dos vulnerabilidades críticas de día cero que afectan a las versiones de Android e iOS, lo que permite a los atacantes ejecutar un código arbitrario de forma remota.
WhatsApp, propiedad de Facebook, es una de las aplicaciones de mensajería mejor clasificadas con más de mil millones de usuarios en todo el mundo tanto en Android como en iPhone.
Ambas vulnerabilidades están marcadas como de gravedad «crítica» con una puntuación CVE de 10/10 y las encuentra el equipo de seguridad interno de WhatsApp.
Simplificando las siguientes vulnerabilidades, Whatsapp podría causar que su dispositivo sea pirateado al recibir un archivo de video o cuando está en una videollamada.
CVE-2022-36934 – Error de desbordamiento de enteros
Un error de desbordamiento de enteros que afecta a WhatsApp permite a los atacantes ejecutar el código arbitrario especialmente diseñado durante una videollamada establecida sin ningún tipo de interacción del usuario.
Un desbordamiento de enteros, también conocido como «recuperación», ocurre cuando un valor entero se incrementa a un valor que es demasiado grande para almacenarlo en la representación asociada.
Este error RCE afecta un código desconocido del componente Video Call Handler de WhatsApp , que permite a un atacante manipular el error para desencadenar un desbordamiento de búfer basado en montón y tomar el control completo de WhatsApp Messenger.
«Una condición de desbordamiento de montón es un desbordamiento de búfer, donde el búfer que se puede sobrescribir se asigna en la porción de memoria del montón, lo que generalmente significa que el búfer se asignó mediante una rutina como malloc()».
Los piratas informáticos pueden aprovechar esta vulnerabilidad de ejecución remota de código para implementar el malware en el dispositivo del usuario para robar archivos confidenciales y también para fines de vigilancia.
Según el aviso de WhatsApp : “Un desbordamiento de enteros en WhatsApp para Android antes de v2.22.16.12, Business para Android antes de v2.22.16.12, iOS antes de v2.22.16.12, Business para iOS antes de v2.22.16.12 podría resultar en la ejecución remota de código en una videollamada establecida”.
CVE-2022-27492: error de subdesbordamiento de enteros
Una vulnerabilidad de subdesbordamiento de enteros (CVE-2022-27492) permite a los atacantes ejecutar el código arbitrario de forma remota, y se requiere la interacción del usuario para explotar este error con éxito.
El «subdesbordamiento de enteros» se utiliza a veces para identificar errores de signos en los que un número originalmente positivo se vuelve negativo como resultado de la resta. Sin embargo, hay casos de mala resta en los que están involucrados números enteros sin signo, por lo que no siempre es un problema de signo.
Este problema afecta a un bloque de código desconocido del componente Video File Handler . La manipulación con una entrada desconocida conduce a una vulnerabilidad de corrupción de memoria.
Según el aviso de WhatsApp, «un desbordamiento de enteros en WhatsApp para Android anterior a v2.22.16.2, WhatsApp para iOS v2.22.15.9 podría haber causado la ejecución remota de código al recibir un archivo de video diseñado».
Para aprovechar esta vulnerabilidad, los atacantes colocan un archivo de video manipulado en el mensajero de WhatsApp del usuario. La ejecución exitosa con la ayuda de la interacción del usuario permite a los piratas informáticos obtener acceso completo al mensajero y robar datos confidenciales de su dispositivo móvil.
Whatsapp solucionó los errores y lanzó un aviso de seguridad para 2 vulnerabilidades que afectan a las versiones de Android e iOS de Siguiente:
CVE-2022-36934
- Android anterior a v2.22.16.12
- Business para Android anterior a v2.22.16.12
- iOS anterior a v2.22.16.12
- Business para iOS anterior a v2.22.16.12
CVE-2022-27492
- Android anterior a v2.22.16.2
- iOS v2.22.15.9
Hasta el momento, no hay detalles técnicos disponibles para estas vulnerabilidades críticas de WhatsApp, y un exploit no está disponible en este momento. Como día 0, el precio subterráneo estimado fue de alrededor de $5k-$25k por vulnerabilidad.
Un portavoz de WhatsApp le dijo a GBHackers que no se han encontrado pruebas de que estas vulnerabilidades hayan sido explotadas.
“WhatsApp trabaja constantemente para mejorar la seguridad de nuestro servicio. Hacemos públicos informes sobre posibles problemas que hemos solucionado de manera consistente con las mejores prácticas de la industria. En este caso, no hay razón para creer que los usuarios se vieron afectados”.
Se recomienda a los usuarios que actualicen la última versión de WhatsApp Messenger para evitar que sus dispositivos tengan estos errores críticos de RCE.
