Цепочка "мелких" багов превратилась в критическую атаку на Windows

Исследователи из SafeBreach обнаружили критические уязвимости в функции быстрой передачи файлов Google Quick Share, которые позволяют злоумышленникам удалённо выполнять вредоносный код на компьютерах с Windows — причём без ведома пользователя. Несмотря на то что Google уже устранил эти уязвимости после презентации на DEFCON в августе, два ключевых элемента цепочки атаки пришлось повторно исправить: специалисты нашли способ обойти первоначальные патчи буквально за пару дней работы.

Quick Share — это аналог AirDrop от Apple, поддерживающий передачу файлов по Bluetooth, Wi-Fi, NFC и другим каналам, и работающий на Android, Windows и Chrome OS. Вроде бы всё продумано: пользователь сам выбирает, кто может отправлять ему файлы, а каждый входящий запрос требует ручного подтверждения. Но исследователям удалось обойти оба этих ограничения, и они построили на этом полноценную атаку, получившую название QuickShell.

С помощью собственного инструмента QuickSniffer они изучили, как устроен внутренний протокол передачи данных в Quick Share. Он оказался достаточно простым и основанным на API Nearby Connections. Оказалось, что можно отправить файл напрямую, минуя процесс "знакомства" устройств и запрос на подтверждение. При этом ограничение на приём файлов только от контактов пользователя также не работало — файл можно было доставить даже в этом режиме.

Наиболее опасной уязвимостью стал баг с обходом подтверждения ( CVE-2024-38272 ), получивший 7.1 балла по шкале CVSS. Второй проблемой ( CVE-2024-38271 ) оказался механизм принудительного подключения устройства к поддельной Wi-Fi-сети злоумышленника — через специальную функцию API для увеличения пропускной способности. Это позволяло перехватывать весь трафик пользователя примерно в течение 30 секунд.

Но настоящая угроза раскрылась только тогда, когда эти уязвимости были объединены в одну цепочку. Через поддельную сеть атакующие отслеживали, когда пользователь загружает исполняемый файл, а затем подменяли его вредоносным, используя бесшумную передачу через Quick Share. Когда пользователь запускал этот файл, происходило удалённое выполнение кода.

Чтобы сделать такую атаку стабильной, исследователи задействовали ещё несколько второстепенных уязвимостей: например, с помощью DoS-багов они "роняли" Quick Share, чтобы удерживать жертву в своей Wi-Fi-сети, и использовали ошибку, позволявшую принудительно открывать файлы в папке загрузок — это мешало Chrome распознать подмену.

Эксперты подчёркивают, что серьёзные угрозы могут возникнуть даже из на первый взгляд незначительных багов. Именно их сочетание превращает, казалось бы, безобидные уязвимости в критические. Поэтому подход к оценке рисков должен учитывать контекст, а не только тяжесть каждой отдельной проблемы.

По словам Ор Яира, если бы в их распоряжении не было уязвимости DoS, вся цепочка атаки просто не состоялась бы. Он призывает разработчиков не игнорировать "мелочи" — именно они часто становятся ключевыми звеньями в сложных и опасных схемах взлома.