Badacze zabezpieczeń ujawnili podatność zero-day w Dropbox na Windows, która pozwala atakującemu uzyskać uprawnienia systemu, zaczynając od zwykłego użytkownika Windows. Dwaj badacze — Chris Danieli i Decoder — przesłali Dropboksowi informacje o tym 18 września i dali mu zwyczajowe 90 dni na załatanie. Jako że poprawka dalej nie nadeszła, informacje o podatności zostały upublicznione.
Podatność opiera się na problemie z nadpisaniem pliku. Atakującemu pozwala wykonywać kod jako SYSTEM. Problem dotyczy usługi DropboxUpdater i choć badacze nie wypuścili kodu exploita, wygląda na to, że pozwala on użytkownikowi lokalnemu zastąpić pliki wykonywalne, które mogą być później wykonane przez SYSTEM. DropboxUpdater jest instalowany jako część oprogramowania klienta Dropbox. Jak twierdzi Decoder, uruchamia się on jako SYSTEM w standardowych instalacjach i przy cogodzinnym sprawdzaniu. Za każdym razem, gdy jest to wywołane, zapisuje się plik logu w lokalizacji, w której konto SYSTEM zostawia go podatnym na wykorzystanie. Badacze byli w stanie nadpisać pliki kontrolowane przez konto SYSTEM i dostać się do shella, interfejsu wiersza poleceń z uprawnieniami systemu.
Aby atak się powiódł, atakujący musi mieć już dostęp jako użytkownik na docelowym urządzeniu, a Dropbox musi być zainstalowany w standardowy sposób. Jak podaje Bleeping Computer, nie ma żadnej mikrołaty (micro-patch) od oPatch, która tymczasowo zapobiegłaby atakom do czasu wydania poprawki przez Dropbox.
Rzecznik prasowy firmy poinformował, że Dropbox dowiedział się o podatności z programu bug bounty i wypuści łatkę w nadchodzących tygodniach. Dodał też, że bug można wykorzystać tylko w ograniczonych warunkach i do firmy nie dotarły raporty o wpływie podatności na użytkowników.
341f31d.png)