הוצגה טכניקה חדשה לניצול נקודות תורפה ב-SQLite.

חוקרים מצ'ק פוינט חָשׂוּף בכנס DEF CON, פרטים על טכניקה חדשה לתקיפת יישומים באמצעות גרסאות פגיעות של SQLite. שיטת צ'ק פוינט מחשיבה קבצי מסד נתונים כהזדמנות לשילוב תרחישים לניצול פגיעויות בתתי-מערכות פנימיות שונות של SQLite שאינן ניתנות לניצול ישיר. החוקרים הכינו גם טכניקה לניצול נקודות תורפה על ידי קידוד הניצול בצורה של שרשרת של שאילתות SELECT במסד הנתונים של SQLite, המאפשרת לעקוף את ASLR.

להתקפה מוצלחת, יש צורך להיות מסוגל לשנות את קבצי מסד הנתונים של היישומים המותקפים, מה שמגביל את השיטה להתקפות על יישומים המשתמשים במסד הנתונים של SQLite כפורמט להעברת נתונים וקלט. השיטה יכולה לשמש גם להרחבת גישה מקומית קיימת, למשל, לשילוב דלתות אחוריות נסתרות באפליקציות משומשות, וכן לעקוף מנגנוני אבטחה בעת ניתוח תוכנות זדוניות על ידי חוקרי אבטחה. הפעולה לאחר החלפת הקבצים מתבצעת ברגע שהאפליקציה מבצעת את שאילתת ה-SELECT הראשונה מול טבלה במסד הנתונים שהשתנה.

כדוגמה, הדגמנו את היכולת להריץ קוד ב-iOS בעת פתיחת פנקס כתובות, הקובץ עם מסד הנתונים "AddressBook.sqlitedb" שונה בשיטה המוצעת. המתקפה השתמשה בפגיעות בפונקציית fts3_tokenizer (CVE-2019-8602, יכולת הפניית מצביע), שתוקנה בעדכון אפריל SQLite 2.28, יחד עם עדכון נוסף פגיעות ביישום פונקציות חלון. בנוסף, הודגם שימוש בשיטה להשתלטות מרחוק על שרת אחורי של תוקף הכתובה ב-PHP, אשר צוברת סיסמאות שיירטו במהלך פעולת קוד זדוני (הסיסמאות שיירטו הועברו בצורה של מסד נתונים של SQLite).

שיטת התקיפה מבוססת על שימוש בשתי טכניקות "Query Hijacking" ו-"Query Oriented Programming", המאפשרות ניצול בעיות שרירותיות המובילות לשחיתות זיכרון במנוע SQLite. המהות של "Query Hijacking" היא להחליף את התוכן של שדה "sql" בטבלת השירות sqlite_master, הקובעת את מבנה מסד הנתונים. השדה שצוין מכיל בלוק DDL (Data Definition Language) המשמש לתיאור מבנה האובייקטים במסד הנתונים. התיאור מצוין באמצעות תחביר SQL סטנדרטי, כלומר. נעשה שימוש במבנה "CREATE TABLE",
אשר מבוצע במהלך תהליך האתחול של מסד הנתונים (במהלך ההשקה הראשונה
sqlite3LocateTable פונקציות ליצירת מבנים פנימיים הקשורים לטבלה בזיכרון.

הרעיון הוא שכתוצאה מהחלפת "CREATE TABLE" ב-"CREATE VIEW", ניתן יהיה לשלוט בכל גישה למסד הנתונים על ידי הגדרת התצוגה שלך. באמצעות "CREATE VIEW" פעולת "SELECT" קשורה לטבלה, שתיקרא במקום "CREATE TABLE" ומאפשרת גישה לחלקים שונים של המתורגמן SQLite. בשלב הבא, שיטת ההתקפה הפשוטה ביותר תהיה לקרוא לפונקציה "load_extension", המאפשרת לך לטעון ספרייה שרירותית עם סיומת, אך פונקציה זו מושבתת כברירת מחדל.

כדי לבצע תקיפה כאשר ניתן לבצע את פעולת ה-"SELECT", מוצעת טכניקת "Query Oriented Programming", המאפשרת לנצל בעיות ב-SQLite שמובילות לשחיתות זיכרון. הטכניקה מזכירה תכנות מכוון החזרה (R.O.P., תכנות מכוון החזרה), אך אינו משתמש בקטעי קוד מכונה קיימים כדי לבנות שרשרת שיחות ("גאדג'טים"), אלא מוסיף לקבוצה של שאילתות משנה בתוך SELECT.

מקור: OpenNet.ru