Una nueva técnica permite a los hackers ocultar vulnerabilidades en el código fuente

Dos nuevas vulnerabilidades podrían ser aprovechadas por un atacante para inyectar malware visualmente engañoso, de una manera que es semánticamente permisible, pero altera la lógica definida por el código fuente.

«Esta técnica, denominada «Trojan Source attacks«, produce un código fuente cuyos tokens se codifican lógicamente en un orden diferente al que se muestran, lo que da lugar a vulnerabilidades que no pueden ser percibidas directamente por el ojo humano», afirman los investigadores de la Universidad de Cambridge, Nicholas Boucher y Ross Anderson, en un artículo recién publicado.

Las vulnerabilidades denominadas como CVE-2021-42574 y CVE-2021-42694 afectan a los compiladores de todos los lenguajes de programación populares, como C, C++, C#, JavaScript, Java, Rust, Go y Python.

El ataque funciona apuntando a la codificación de los archivos de código fuente para crear vulnerabilidades específicas, en lugar de introducir deliberadamente errores lógicos, para reordenar visualmente los tokens en el código fuente que, aunque se presenta de una manera perfectamente aceptable, engaña al compilador para que procese el código de una manera diferente y cambie drásticamente el flujo del programa, por ejemplo, haciendo que un comentario aparezca como si fuera código.

Los investigadores calcularon que, si el cambio en la lógica es lo suficientemente sutil como para pasar desapercibido en las pruebas posteriores, un adversario podría introducir vulnerabilidades específicas sin ser detectado.

Más información:

https://thehackernews.com/2021/11/new-trojan-source-technique-lets.html

La entrada Una nueva técnica permite a los hackers ocultar vulnerabilidades en el código fuente se publicó primero en Una al Día.