Una vulnerabilidad en la app de escritorio de Discord permite ataques de ejecución remota del código

La plataforma de comunicación Discord ha solucionado una vulnerabilidad crítica en la versión de escritorio de la aplicación que permitía a los cibercriminales realizar ataques de ejecución remota del código (RCE).

Esta vulnerabilidad crítica ha sido notificada a través del programa de recompensas de errores de la aplicación, según ha compartido el cazarrecompensas que la ha encontrado, Masato Kinugawa, en su blog. Su peculiaridad radica en que combina distintos errores para realizar el ataque.

Kinugawa encontró un primer problema en el marco de software utilizado por la versión de escritorio de Discord, Electron. Una de las configuraciones en la compilación de Electron de Discord se estableció en falso, permitiendo que el código JavaScript externo de la app influyera en el código interno.

"Este comportamiento es peligroso porque Electron permite que el código JavaScript externo a las páginas web utilice las funciones Node.js independientemente de la opción nodeIntegration y al interferir con ellas desde la función anulada en la página web, sería posible lograr un ataque RCE incluso si nodeIntegration se establece en falso", ha explicado Kinugawa.

Kinugawa descubrió también un problema de secuencias de comandos entre sitios (XSS) en la función de inserción de iframe, que se utiliza para mostrar vídeos en el chat cuando se publica una URL, por ejemplo de YouTube.

Después halló un desvío de restricción de navegación en el código de evento "will-navigate" de Electron. Este error de procesamiento, junto con las otras dos vulnerabilidades, permitió a Kinugawa realizar un ataque RCE eludiendo las restricciones de navegación y utilizando el error iframe XSS.