{"id":26486,"date":"2021-11-25T00:57:27","date_gmt":"2021-11-24T22:57:27","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26486"},"modified":"2021-11-25T00:57:27","modified_gmt":"2021-11-24T22:57:27","slug":"trojan-source","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/trojan-source\/26486\/","title":{"rendered":"Implantes invisibles en el c\u00f3digo fuente"},"content":{"rendered":"

Los expertos de la Universidad de Cambridge\u00a0<\/span>han descrito<\/span><\/a>\u00a0una vulnerabilidad que, seg\u00fan afirman,\u00a0afecta a los compiladores m\u00e1s modernos.\u00a0Este\u00a0nuevo m\u00e9todo de ataque utiliza una funci\u00f3n leg\u00edtima de las herramientas de desarrollo en el que el c\u00f3digo fuente muestra una cosa, pero compila otra completamente distinta.\u00a0Todo\u00a0esto sucede mediante la magia de los caracteres de control Unicode.<\/span>\u00a0<\/span><\/p>\n

\"Los

Los caracteres de formato de direccionalidad Unicode relevantes para reordenar los ataques. Fuente<\/a><\/p><\/div>\n

La mayor\u00eda de las veces, los caracteres de control no aparecen en la pantalla con el resto del c\u00f3digo (aunque algunos editores los muestran), pero modifican el texto de alguna\u00a0forma.\u00a0<\/span>En esta tabla<\/span><\/a>\u00a0se incluyen los c\u00f3digos para el algoritmo bidireccional (bidi) Unicode, por ejemplo.\u00a0<\/span>\u00a0<\/span><\/p>\n

Como probablemente ya sabr\u00e1s, algunos idiomas humanos se escriben de izquierda a derecha (por ejemplo, el espa\u00f1ol), otros de derecha a izquierda (por ejemplo, el \u00e1rabe). Cuando el c\u00f3digo contiene solo un idioma, no hay problema, pero cuando es necesario (por ejemplo, en el caso de una l\u00ednea contenga palabras en espa\u00f1ol y \u00e1rabe) el c\u00f3digo bidi especifica la direcci\u00f3n del texto.<\/span>\u00a0<\/span><\/p>\n

En la investigaci\u00f3n, los autores utilizaron c\u00f3digos para, por ejemplo, mover el terminador de comentarios en el c\u00f3digo Python de la parte central de una l\u00ednea al final. Aplicaron un c\u00f3digo RLI para cambiar solo algunos caracteres, dejando el resto igual.\u00a0<\/span>\u00a0<\/span><\/p>\n

\"Ejemplo

Ejemplo de c\u00f3digo Python vulnerable que utiliza c\u00f3digos bidi. Fuente<\/a><\/p><\/div>\n

A la derecha est\u00e1 la versi\u00f3n que los programadores ven al revisar el c\u00f3digo fuente; a la izquierda se muestra c\u00f3mo el c\u00f3digo se ejecutar\u00e1. La mayor\u00eda de los compiladores ignora los caracteres de control. Cualquiera que revise el c\u00f3digo pensar\u00e1 que la quinta l\u00ednea es un comentario inofensivo, aunque en realidad, una sentencia de retorno anticipado escondida en su interior har\u00e1 que el programa se salte la operaci\u00f3n que carga los fondos de la cuenta bancaria. <\/span>Es decir, en este ejemplo el programa bancario simulado dispensar\u00e1 el dinero, pero no lo deducir\u00e1 del saldo de la cuenta. <\/span>\u00a0<\/span><\/p>\n

\u00bfPor qu\u00e9\u00a0resulta\u00a0peligroso?<\/span>\u00a0<\/span><\/h2>\n

A simple vista, la vulnerabilidad parece muy sencilla. \u00bfQui\u00e9n insertar\u00eda caracteres invisibles con la esperanza de enga\u00f1ar a los auditores del c\u00f3digo fuente? No obstante, el problema se ha considerado lo suficientemente grave como para justificar un c\u00f3digo identificador de vulnerabilidades (<\/span>CVE-2021-42574<\/span><\/a>). Antes de publicar el art\u00edculo, los autores notificaron a los desarrolladores de los compiladores m\u00e1s comunes para darles tiempo para preparar\u00a0los\u00a0parches.\u00a0<\/span>\u00a0<\/span><\/p>\n

El informe describe las capacidades de ataque b\u00e1sicas. Las dos estrategias de ejecuci\u00f3n\u00a0consisten en\u00a0ocultar un comando dentro de los comentarios y algo en una l\u00ednea que, por ejemplo, aparezca en la pantalla. En teor\u00eda, es posible lograr el efecto opuesto: crear un c\u00f3digo que parezca un comando, pero\u00a0que realmente\u00a0forme\u00a0parte de un comentario y\u00a0acabe por no ejecutarse. Incluso es posible que existan m\u00e9todos m\u00e1s creativos para explotar esta debilidad.\u00a0<\/span>\u00a0<\/span><\/p>\n

Por ejemplo, alguien podr\u00eda utilizar este truco\u00a0para llevar a cabo un sofisticado ataque de cadena de suministro donde un contratista suministre a una empresa un c\u00f3digo que parezca correcto, pero no funcione seg\u00fan lo planeado. Entonces, despu\u00e9s de que se libere el producto final, un externo podr\u00eda utilizar\u00a0esa\u00a0\u201cfuncionalidad alternativa\u201d para atacar a los clientes.\u00a0<\/span>\u00a0<\/span><\/p>\n

Pero \u00bfes realmente tan peligroso?<\/span>\u00a0<\/span><\/h2>\n

Poco despu\u00e9s de que se publicara\u00a0el art\u00edculo, el programador\u00a0Russ\u00a0Cox\u00a0<\/span>critic\u00f3<\/span>\u00a0el ataque\u00a0Trojan\u00a0Source;\u00a0por decirlo de alguna forma, no se mostr\u00f3 muy\u00a0impresionado. Sus argumentos\u00a0fueron\u00a0los siguientes:\u00a0<\/span>\u00a0<\/span><\/p>\n