Анализ гипотетического Electron-приложения AcmeDesk

Примечание аналитика: Все выводы основаны на описанных артефактах и стандартных паттернах безопасности Electron/Windows. Где информация отсутствует, явно помечено как ПРЕДПОЛОЖЕНИЕ. Тестирование проводится в изолированной VM/песочнице.

1. 10 потенциальных классов уязвимостей

1. Path Traversal (Чтение/запись произвольных файлов)

Где искать: Обработчик acmedesk://open?path=..., логика импорта .zip.
Почему риск: Позволяет читать конфиденциальные файлы (%USERPROFILE%\.ssh, NTUSER.DAT, токены) или перезаписывать системные конфиги.
Безопасная проверка локально: Отправить в браузер/командную строку acmedesk://open?path=..\\..\\Windows\\win.ini. Наблюдать за поведением приложения и файловой системой.
Минимальный PoC: start acmedesk://open?path=..\\..\\Users\\Public\\poc_traversal.txt (файл создается заранее с текстом TEST).
Как исправить: Нормализация пути через path.resolve(), жесткая проверка startsWith(appDataDir), блокировка последовательностей .. и абсолютных путей.

2. Command Injection (Инъекция команд через PowerShell)

Где искать: Лог spawn powershell.exe ..., код вызова child_process.spawn/exec в main.js.
Почему риск: Если путь к скрипту или аргументы формируются конкатенацией строк, злоумышленник может внедрить операторы ;, &, &&, % и выполнить произвольный код.
Безопасная проверка локально: Проанализировать исходный код/декомпилированный main.js на использование exec/execSync с интерполяцией переменных.
Минимальный PoC: Создать в %TEMP% файл update.ps1 с содержимым Write-Host "SAFE_TEST". Запустить обновление, проверить вывод в консоль/лог.
Как исправить: Использовать spawn с массивом аргументов ['powershell.exe', '-File', sanitizedPath], запретить выполнение из %TEMP%, валидировать источник скрипта.

3. Insecure Token Storage (Небезопасное хранение токена автологина)

Где искать: %APPDATA%\AcmeDesk\data.db, settings.json, electron-store, реестр HKCU\Software\AcmeDesk.
Почему риск: Прямое чтение токена другими процессами или пользователями ведет к полному компрометированию аккаунта без повторной аутентификации.
Безопасная проверка локально: Открыть data.db через SQLite-клиент, проверить поле токена на наличие шифрования/соли.
Минимальный PoC: Экспортировать токен из тестовой установки, импортировать в чистую песочницу, проверить автоматический вход.
Как исправить: Хранение в Windows Credential Manager (CredWrite/CredRead), использование DPAPI, привязка токена к аппаратному fingerprint, обязательная ротация.

4. Unsafe YAML Deserialization (Небезопасный парсинг `latest.yml`)

Где искать: Модуль автообновления, зависимости node_modules (поиск js-yaml, yaml, safe-load).
Почему риск: Парсеры YAML по умолчанию могут выполнять произвольный код через теги !!js/function или !!python/object.
Безопасная проверка локально: Найти вызов load()/safeLoad() в коде обновления. Проверить, используется ли schema: DEFAULT_SCHEMA или FAILSAFE_SCHEMA.
Минимальный PoC: Развернуть локальный HTTP-сервер, отдающий latest.yml с !!js/function: this.constructor("return process.exit(0)")(). Настроить app на локальный URL, проверить падение/выполнение.
Как исправить: Строго safeLoad/safeLoadAll, валидация JSON-подобной структуры, проверка цифровой подписи файла перед парсингом.

5. Zip Slip (Произвольная запись файлов при распаковке)

Где искать: Логика импорта .zip бэкапа, вызовы adm-zip, jszip, tar.
Почему риск: Злоумышленник формирует архив с путями ../../../ProgramData/malicious.dll, перезаписывая критичные файлы.
Безопасная проверка локально: Создать архив через zip/7z с файлом ../../../Public/zipslip_test.txt.
Минимальный PoC: Импортировать архив, проверить создание файла в %PUBLIC%. Не перезаписывать системные файлы.
Как исправить: Проверка canonical path каждого элемента архива, отклонение если !path.startsWith(targetDir), использование безопасных библиотек с built-in protection.

6. Electron IPC / Context Isolation Bypass

Где искать: main.js (создание BrowserWindow), preload.js, webPreferences.
Почему риск: Если nodeIntegration: true или contextIsolation: false, XSS в веб-рендерере превращается в RCE через require('child_process').
Безопасная проверка локально: Открыть DevTools рендерера, выполнить process и require. Проверить webPreferences в коде.
Минимальный PoC: В консоли рендерера: require('fs').writeFileSync(process.env.TEMP + '\\ipc_test.txt', 'OK').
Как исправить: nodeIntegration: false, contextIsolation: true, sandbox: true, безопасный contextBridge только для необходимых IPC-каналов.

7. Arbitrary File Execution via Attachments/Temp

Где искать: Папка attachments/, логика обработки импортируемых файлов, ассоциации типов.
Почему риск: Приложение может автоматически запускать/открывать файлы из бэкапа, что ведет к выполнению вредоносного скрипта.
Безопасная проверка локально: Проверить, есть ли автозапуск или вызов shell.openExternal/child_process для файлов из attachments/.
Минимальный PoC: Поместить test.bat с echo TEST > %TEMP%\\exec_test.txt в attachments/, импортировать zip, проверить создание файла.
Как исправит: Блокировка выполнения из директорий приложения, проверка расширений, запрет автозапуска, использование sandbox для открытия файлов.

8. Race Condition / TOCTOU в обработке временных файлов

Где искать: Создание/запуск update.ps1 в %TEMP%, проверка прав/хэша перед spawn.
Почему риск: Между проверкой файла и его запуском злоумышленник может подменить его на вредоносный (символическая ссылка, переименование).
Безопасная проверка локально: Мониторинг через ProcMon, попытка подмены файла в момент обновления.
Минимальный PoC: Использовать скрипт, создающий симлинк update.ps1 -> malicious.ps1 в момент вызова spawn, проверить выполнение.
Как исправить: Изолированная директория с правами D: (только владелец), проверка хэша сразу перед запуском, CreateProcess с CREATE_NO_WINDOW, запрет симлинков.

9. SQLite Injection / Unvalidated Queries

Где искать: Запросы к data.db, особенно если используются строковые конкатенации в db.run()/db.get().
Почему риск: Позволяет извлекать токены, модифицировать настройки, удалять БД или выполнять OS-команды через ATTACH DATABASE.
Безопасная проверка локально: Найти места вызова SQL в коде. Проверить на параметризованные запросы (? или $1).
Минимальный PoC: Ввести ' OR 1=1 -- в поле поиска/фильтрации (если есть UI), проверить дублирование записей или ошибки.
Как исправить: Строго параметризованные запросы, ORM/обертки, валидация типов ввода, запрет ATTACH/LOAD_EXTENSION в SQLite.

10. Insecure Update Verification / MITM Vulnerability

Где искать: Логика загрузки latest.yml, проверка TLS, валидация подписи, fallback на HTTP.
Почему риск: Подмена обновления через MITM или компрометацию CDN ведет к установке бэкдора с правами пользователя.
Безопасная проверка локально: Проверить протокол (https://), наличие проверки SHA256/PGP, поведение при самоподписанном сертификате.
Минимальный PoC: Настроить локальный MITM-прокси с самоподписанным сертификатом, проверить, доверяет ли app. Проверить, блокируется ли latest.yml без валидной подписи.
Как исправить: Строгая проверка TLS (pinning или валидация CA), верификация цифровой подписи разработчика, проверка хэша бинара/архива, запрет fallback на HTTP.

2. Checklist для тестирования `acmedesk://`

#	Проверка	Метод	Ожидаемое поведение
1	Валидация URL-парсера	`acmedesk://open?path=%2Fetc%2Fpasswd`	Отклонение или безопасная нормализация
2	Path Traversal	`acmedesk://open?path=..\\..\\Windows\\win.ini`	Блокировка, ошибка `Access Denied`
3	Абсолютные пути	`acmedesk://open?path=C:\Users\Public\test.txt`	Отклонение или ограничение в `appData`
4	Command Injection	`acmedesk://open?path=test.txt;notepad.exe`	Экранирование, выполнение только файла
5	SSRF/Network	`acmedesk://open?path=http://internal.local/file`	Блокировка внешних/внутренних URL
6	Null bytes	`acmedesk://open?path=allowed.txt%00.exe`	Отклонение, очистка пути
7	Двойное кодирование	`acmedesk://open?path=%252e%252e%255c`	Декодирование + валидация
8	Обработка ошибок	`acmedesk://open?path=`	Безопасное сообщение, без утечки стека/путей
9	Привилегии	Запуск от обычного пользователя vs админа	Ограничение в пользовательский контекст
10	Rate Limiting	1000 запросов/сек	Очередь, throttle, без DoS

Примечание: Тестирование проводится через start acmedesk://... или браузер. Все проверки выполняются в изолированной среде.

3. PowerShell-скрипт сбора артефакков (безопасный, оффлайн)

<#
.SYNOPSIS
  Безопасный сбор артефактов AcmeDesk для анализа.
  Не выполняет код приложения, не отправляет данные в сеть.
  Работает в контексте текущего пользователя.
#>

$ErrorActionPreference = 'SilentlyContinue'
$OutputPath = "$env:USERPROFILE\AcmeDesk_Artifacts_$((Get-Date).ToString('yyyyMMdd_HHmmss')).zip"
$AppDataDir = "$env:APPDATA\AcmeDesk"
$TempDir = "$env:TEMP\AcmeDesk*"
$InstallDir = (Get-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\App Paths\AcmeDesk.exe" -ErrorAction SilentlyContinue).'(Default)'

if (-not $InstallDir) { $InstallDir = "$env:ProgramFiles\AcmeDesk" }

$Targets = @($AppDataDir, $InstallDir) + (Get-ChildItem $TempDir -ErrorAction SilentlyContinue | Select-Object -ExpandProperty FullName)
$Targets = $Targets | Where-Object { $_ -and (Test-Path $_) } | Select-Object -Unique

$Report = @()

foreach ($Dir in $Targets) {
    $Files = Get-ChildItem -Path $Dir -Recurse -File -ErrorAction SilentlyContinue
    foreach ($File in $Files) {
        $Acl = Get-Acl $File.FullName -ErrorAction SilentlyContinue
        $Hash = Get-FileHash $File.FullName -Algorithm SHA256 -ErrorAction SilentlyContinue
        $Version = Get-Item $File.FullName -ErrorAction SilentlyContinue | Select-Object -ExpandProperty VersionInfo -ErrorAction SilentlyContinue
        
        $Report += [PSCustomObject]@{
            Path        = $File.FullName
            Length      = $File.Length
            LastWrite   = $File.LastWriteTime
            Owner       = $Acl.Owner
            Permissions = ($Acl.Access | ForEach-Object { $_.FileSystemRights.ToString() }) -join ','
            SHA256      = $Hash.Hash
            ProductName = $Version.ProductName
            FileVersion = $Version.FileVersion
            Company     = $Version.CompanyName
        }
    }
}

# Сохранение отчета
$Report | Export-Csv -Path "$env:TEMP\AcmeDesk_Artifacts.csv" -NoTypeInformation -Encoding UTF8

# Архивация (только если есть доступ к архиватору, иначе оставляем CSV)
if (Get-Command Compress-Archive -ErrorAction SilentlyContinue) {
    Compress-Archive -Path "$env:TEMP\AcmeDesk_Artifacts.csv" -DestinationPath $OutputPath -Force
    Write-Host "[+] Отчет сохранен: $OutputPath"
} else {
    Write-Host "[!] Compress-Archive недоступен. CSV: $env:TEMP\AcmeDesk_Artifacts.csv"
}

Write-Host "[+] Сбор завершен. Данные не покидали систему."

Безопасность скрипта: Не использует Invoke-WebRequest, Start-Process, IEX. Работает только с метаданными и хэшами. Выходные данные локальные.

4. Заключение

🔍 Наиболее вероятные баги (высокая частота в Electron-приложениях)

Path Traversal в acmedesk://open?path= (некорректная нормализация путей)
Insecure Token Storage (токен в plaintext/weak crypto в DB или JSON)
Zip Slip при импорте бэкапов (отсутствие проверки canonical path)
Electron IPC Misconfiguration (nodeIntegration: true или contextIsolation: false в legacy-коде)

🚨 Самые критичные баги (RCE / Полный контроль)

Unsafe YAML Deserialization в автообновлении → RCE при загрузке latest.yml
Command Injection в spawn powershell.exe → Выполнение произвольного кода
Token Theft + Auto-login → Полная компрометация аккаунта без взаимодействия с пользователем
Zip Slip + Arbitrary Execution → Перезапись системных файлов/конфигов с автозапуском

⚠️ Что нельзя утверждать без доступа к бинарю/исходникам

Реальное состояние webPreferences (nodeIntegration, contextIsolation, sandbox)
Используется ли safeLoad для YAML или уязвимый load()
Механизм шифрования токена (DPAPI, собственное, plaintext)
Наличие проверки цифровой подписи latest.yml и валидации хэша бинара
Точная реализация spawn (массив аргументов vs строка, обработка %TEMP%)
Наличие preload.js и корректность contextBridge
Логика обработки attachments/ (автозапуск, валидация расширений, песочница)

Рекомендация: Для подтверждения критичных уязвимостей требуется статический анализ main.js/renderer.js, динамический анализ в песочнице с ProcMon/API Monitor, и декомпиляция нативных модулей (если есть .node). Все PoC выше безопасны и не модифицируют системные компоненты.

Анализ гипотетического Electron-приложения AcmeDesk

1. 10 потенциальных классов уязвимостей

1. Path Traversal (Чтение/запись произвольных файлов)

2. Command Injection (Инъекция команд через PowerShell)

3. Insecure Token Storage (Небезопасное хранение токена автологина)

4. Unsafe YAML Deserialization (Небезопасный парсинг latest.yml)

5. Zip Slip (Произвольная запись файлов при распаковке)

6. Electron IPC / Context Isolation Bypass

7. Arbitrary File Execution via Attachments/Temp

8. Race Condition / TOCTOU в обработке временных файлов

9. SQLite Injection / Unvalidated Queries

10. Insecure Update Verification / MITM Vulnerability

2. Checklist для тестирования acmedesk://

3. PowerShell-скрипт сбора артефакков (безопасный, оффлайн)

4. Заключение

🔍 Наиболее вероятные баги (высокая частота в Electron-приложениях)

🚨 Самые критичные баги (RCE / Полный контроль)

⚠️ Что нельзя утверждать без доступа к бинарю/исходникам

4. Unsafe YAML Deserialization (Небезопасный парсинг `latest.yml`)

2. Checklist для тестирования `acmedesk://`