La aplicación Discord Desktop tenía errores que llevaron al ataque XSS

Un cazador de errores encontró una forma de ejecutar código remoto en el cliente de escritorio Discord y fue premiado $ 5,000 por ese descubrimiento. Su revelación, ahora corregida, describe errores en varias características de la aplicación Discord y necesitaba ser encadenado para obtener un ataque de scripting entre sitios. Esto se informó a Discord a principios de este año y se reveló públicamente ahora.

Errores XSS en Discord

La aplicación Discord Desktop tenía errores que llevaron al ataque XSS

La discordia es utilizada popularmente por los jugadores para comunicarse mientras juegan. Se ha informado que el cliente de escritorio en esta plataforma tiene varios errores, que se pueden encadenar para lograr un ataque RCE completo. Descubierto por Masato Kinugawa, su informe inicialmente detalles sobre Electrón, un marco de software utilizado por el cliente de escritorio Discord.

Aunque el código fuente del cliente de escritorio Discord no está abierto, el código JavaScript utilizado por Electron sí lo está. Masato examinó esto para encontrar una configuración llamada «contextoAislamientoEn su construcción, que se definió como falsa. Esto permite que el código JavaScript externo afecte al código interno, como la función Node.js.

Kinugawa dijo: “Este comportamiento es peligroso porque Electron permite que el código JavaScript fuera de las páginas web utilice las funciones de Node.js. [of] la opción nodeIntegration e interfiriendo con ellos desde la función reemplazada en la página web, es posible obtener RCE incluso si nodeIntegration se establece en false. «

El siguiente error está en Sketchfab, un visor de contenido 3D que se usa para mostrar contenido de video en un iframe. Esto permite a los usuarios compartir URL de video en chats y abrirlos como videos de YouTube en una ventana corta. Aunque esto lo permitió parcialmente, encontró una manera de sortear el electrón «ir a navegar« código de evento.

Este problema de procesamiento se ha rastreado como CVE-2020-15174, junto con los otros dos, llevaron a Kinugawa a llevar a cabo un ataque RCE exitoso y usar el error de iframe XSS para obtener la carga útil de malware de un sitio web. Discord le otorgó $ 5,000 y Sketchfab $ 300.