Ataque DoS en chat de negocios para Skype

emojis

Este  ataque de denegación de servicio se ha denominado "Kitten of Doom" y es muy fácil de realizar.

Se descubrió una vulnerabilidad de denegación de servicio (DoS) en la plataforma de comunicaciones unificadas de Skype Empresarial, que se puede activar al enviar grandes cantidades de emojis al cliente de mensajería instantánea. De acuerdo con el SEC Consult Vulnerability Lab, que descubrió la falla (CVE-2018-8546), montar un ataque no podría ser más fácil. Un atacante solo necesita para colapsar al cliente de Skype for Business o Lync de la víctima con cientos de emojis a la vez.

Los investigadores utilizaron el lindo gatito emoji para demostrar el ataque (lo que también permitió a la empresa nombrar el ataque "
Kitten of Doom"). Descubrieron que a partir de 100 emojis, la aplicación comenzará a demorarse y, a partir de ahí, se volverá cada vez más lenta a medida que se envíen más emojis. Sin embargo, con 800 gatitos, un atacante da en el blanco: "Su cliente de Skype Empresarial dejará de responder por unos segundos", dijo la firma, en un post esta semana. "Si un remitente continúa enviando emojis, su cliente de Skype Empresarial no podrá utilizarse hasta que finalice el ataque".

kitten of doom


El vector de ataque también es simple: un remitente malintencionado puede simplemente invitar al objetivo a unirse a una reunión; o, él o ella podría contactar a alguien directamente a través de Skype.

No todos los clientes se congelan con la llegada de 800 gatitos de Doom: la falla solo afecta a Skype Empresarial 2016 MSO (16.0.93) de 64 bits o antes; y el precursor de Skype Empresarial, Microsoft Lync 2013. Este último es vulnerable en la versión (15.0) de 64 bits, que es parte de Microsoft Office Professional Plus 2013 o anterior.

El ataque parece más hecho para bromas que cualquier otra cosa a primera vista; el estado DoS no es persistente, y solo dura mientras los gatitos (u otros emojis) sigan llegando. Además, esto afecta solo a la función de chat; Las funciones de audio y video en Skype for Business se manejan mediante un hilo independiente y no vulnerable.

Sin embargo, como señaló Sec-Consult, la disponibilidad de herramientas como Lync y Skype for Business es una parte clave de cómo funcionan las organizaciones a diario. Las motivaciones de ataque pueden abarcar desde operaciones sucias competitivas (por ejemplo, una empresa competidora podría rastrear a clientes ejecutivos), a la política dentro de la oficina (reduciendo la productividad de un departamento rival, por ejemplo).

Microsoft emitió una corrección para CVE-2018-8546 en la actualización del martes de revisión de esta semana. Para aquellos que no tienen la opción de parchear el sistema, las soluciones incluyen deshabilitar emojis en el cliente de Skype Empresarial (Herramientas -> Opciones -> IM -> Mostrar emoticonos en los mensajes) y configurar las opciones de privacidad para que solo personas de La lista de contactos puede enviar mensajes.

Un problema similar también se encontró en 2015, donde varios emoticonos animados harían que el uso de la CPU de un cliente se disparara, agregó la firma.

 

Síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila