Trusteer Rapport es una herramienta de seguridad desarrollada por IBM para macOS y Windows que trata de proteger al usuario verficando que la página web a la que se conecta es realmente la web de su banco, evitando así que el usuario acabe introduciendo sus datos en una web falsa.

Para llevar a cabo su cometido, Trusteer Rapport se instala como un driver del sistema operativo, lo que le permite no solo inyectarse en los navegadores que usa el usuario para proteger su navegación, sino también protegerse a si mismo de posible malware que intente desactivarlo.

El driver de sistema que instala y ejecuta la herramienta ejecuta código a nivel de kernel, lo que aumenta la peligrosidad de cualquier vulnerabilidad que se encuentre en él. Por ello, la vulnerabilidad que han descubierto los investigadores de Trustwave es tan peligrosa. Gracias a esta vulnerabilidad, cualquier software malicioso que la explote podría ejecutar código a nivel de kernel, lo que daría control total del equipo al atacante.

El driver vulnerable habilita un IOService llamado ‘com_trusteer_rapportke_v2‘, con el objetivo de que este servicio sea usado por módulos de Trusteer Rapport que se ejecutan a nivel de usuario (con menos privilegios) para comunicarse con el driver. Al recibir los parámetros a través del servicio, el driver trata de procesarlos, y en la función de procesado es donde se encuentra la vulnerabilidad. Un error en el uso de enteros sin signo permite que uno de los parámetros que se proporciona supere todos los chequeos de seguridad y se utilice para reservar memoria, produciendose finalmente un buffer overflow en la pila, debido a que se reserva una cantidad incorrecta de memoria.

El buffer de memoria que se corrompe se encuentra en una zona de la memoria de difícil explotación, pero según los investigadores, hay algunas estructuras de datos cercanas que podrían usarse para conseguir la ejecución de código final y comprometer por completo el sistema.

Noventa días después de reportar el fallo a IBM, Trustwave dio treinta días más a IBM para subsanar el error y publicar una actualización. Sin embargo, IBM no ha publicado ningún parche que resuelva el problema, dejando a los usuarios desprotegidos después de que Trustwave haya hecho el pública la vulnerabilidad.