Yahoo Mail ha dovuto ritirare la famosa libreria di elaborazione delle immagini ImageMagick. Il motivo? La scoperta di una vulnerabilità che permetterebbe agli hacker di compromettere le immagini private degli utenti.
ImageMagick è una libreria di elaborazione delle immagini aperta, che consente agli utenti di ridimensionare, ridurre, ritagliare, marcare la filigrana e modificare le immagini. Lo strumento è supportato da PHP, Python, Ruby, Perl, C ++ e molti altri linguaggi di programmazione.
Questa famosa libreria ha fatto notizia lo scorso anno, quando si è scoperta la vulnerabilità, soprannominata ImageTragick, che ha permesso agli hacker di eseguire codice dannoso su un server Web caricando un’immagine ‘maliziosa’.
Ora, solo la scorsa settimana, il ricercatore di sicurezza Chris Evans ha dimostrato la presenza di un exploit di 18 byte che potrebbe essere utilizzato per causare ai server Yahoo la perdita degli allegati privati nelle mail, in particolare le immagini allegate.
L’exploit abusa di una vulnerabilità di protezione nella libreria ImageMagick, che Evans ha definito “Yahoobleed # 1” (YB1), perché il difetto ha causato la perdita di contenuti memorizzati nella memoria del server.
La vulnerabilità effettivamente esiste nel formato RLE (Utah Raster Toolkit Run Length Encoded) dell’immagine. Per sfruttare la vulnerabilità, tutto quello che un aggressore deve fare è creare un’immagine RLE malevola e inviarla all’indirizzo e-mail della vittima, quindi creare un ciclo di comandi di protocollo RLE vuoto, che richiede la perdita di informazioni.
Per dimostrare come è possibile compromettere un account di posta elettronica di Yahoo, Evans, come dimostrazione di prova concettuale (PoC), ha creato un’immagine dannosa contenente il codice di exploit a 18 byte e l’ ha inviato via email a se stesso.
Una volta che l’allegato raggiunge i server di posta di Yahoo, ImageMagick elabora l’immagine per generarne miniature e anteprime, ma a causa dell’esecuzione del codice di exploit di Evans, la libreria genera un’anteprima di immagine corrotta per l’allegato di immagine.
Una volta cliccato su questo allegato, viene lanciato il riquadro di anteprima dell’immagine. Ciò che viene visualizzato non è l’immagine originale, bensì porzioni di immagini che erano ancora presenti nella memoria del server.
“L’immagine JPEG risultante al mio browser è basata su contenuti di memoria non inizializzati o precedentemente liberati”, ha spiegato Evans.
“Questo tipo di vulnerabilità è abbastanza furtivo perché il server non si blocca mai. Comunque le informazioni perdute saranno limitate a quelle presenti nei blocchi di memoria liberi”.
Dopo che Evans ha presentato il suo codice di exploit a 18 byte a Yahoo, l’azienda ha deciso di ritirare totalmente la libreria ImageMagick, piuttosto che risolvere il problema.
Evans ha anche avvertito di un’altra versione di Yahoobleed, soprannominato Yahoobleed2, che era dovuto alla mancata installazione da parte di Yahoo di una patch critica rilasciata nel gennaio 2015. Ha detto che i difetti combinati potrebbero consentire agli attaccanti di ottenere browser cookie, token di autenticazione e immagini private appartenenti agli utenti di Yahoo Mail.
Evans si è aggiudicato una ricompensa di $ 14,000 ($ 778 per byte per il suo codice di exploit) da parte del colosso tecnologico, il quale ha deciso di raddoppiare la somma a $ 28.000 dopo aver saputo che Evans intendeva donare la sua ricompensa per beneficenza.
Oltre che a Yahoo, Evans ha segnalato la vulnerabilità alla squadra di ImageMagick, la quale due mesi fa ha rilasciato ImageMagick versione 7.0.5-1 con una correzione per il problema.
Quindi, altri servizi Web ampiamente utilizzati che utilizzano la libreria ImageMagick sono probabilmente ancora vulnerabili al bug e si consiglia di applicare le patch il più presto possibile.