Tavis Ormandy, ricercatore del team Google Project Zero, ha scoperto una grave vulnerabilità nelle versioni desktop e web di uTorrent che possono essere sfruttate per eseguire un attacco remoto, accedere ai download e installare malware nella cartella Startup (Esecuzione automatica) di Windows. BitTorrent ha risolto il problema e invita gli utenti a scaricare le ultime versione delle applicazioni.
L’esperto di sicurezza afferma che entrambi i client creano un server HTTP RPC sulle porte 10000 (uTorrent desktop) e 19575 (uTorrent Web). Un malintenzionato potrebbe nascondere comandi specifici all’interno di pagine web che interagiscono con questi server e accedere al sistema operativo. Gli exploit scritti da Ormandy per verificare l’esistenza della vulnerabilità sfruttano la tecnica del DNS rebinding che permette ad un dominio Internet di ottenere l’indirizzo IP del computer locale, sul quale è installato uTorrent. A questo punto è possibile installare malware nella cartella Startup che verrà eseguito ad ogni riavvio.
Il ricercatore aveva segnalato la vulnerabilità nel mese di novembre 2017, ma BitTorrent non ha rilasciato nessuna patch entro i 90 giorni concessi dal team Google Project Zero. L’azienda ha comunicato che il fix è disponibile nella versione beta 3.5.3.44352 di uTorrent desktop distribuita il 16 febbraio. La release stabile verrà rilasciata nei prossimi giorni. Per quanto riguarda uTorrent Web, la vulnerabilità è stata corretta nella build 0.12.0.502 pubblicata sul sito ufficiale.
Ormandy aveva scoperto una simile vulnerabilità nel client Transmission circa un mese fa.