Перейти к содержанию

Уязвимость в macOS позволяла использовать файлы TXT для атаки


Рекомендуемые сообщения

Сотрудникам, получающим электронную почту извне компании, обычно объясняют, какие файлы можно открывать, не беспокоясь за безопасность компьютера, а какие потенциально опасны. Скажем, исполняемые файлы EXE по умолчанию считаются небезопасными вложениями, как и офисные документы DOCX или XLSX, в которых могут быть зловредные макросы. А вот файлы с расширением TXT обычно считают безвредными по определению, ведь они не могут содержать ничего, кроме чистого текста. Однако всегда ли они абсолютно безопасны?

Нет, не всегда. Существует как минимум одна уязвимость (на данный момент уже закрытая), которую можно было использовать для атаки через файл TXT. Потому что важно не то, что в файле, а то, как он обрабатывается соответствующими программами.

Уязвимость в macOS CVE-2019-8761

Исследователь Паулош Йибелло (Paulos Yibelo) привлек внимание к достаточно интересному варианту атаки на компьютеры под управлением macOS через текстовый файл. Как и многие другие защитные решения, встроенная система безопасности macOS, Gatekeeper, считает файл TXT вполне доверенным — его можно скачивать и открывать встроенным редактором TextEdit без дополнительных проверок.

Однако редактор TextEdit — несколько более сложный продукт, чем привычный «Блокнот» (Notepad) из Microsoft Windows. Он умеет несколько больше — например, выделять часть текста жирным, менять цвет букв и так далее. Но сам по себе формат TXT для хранения такой информации о стилях не предназначен, так что TextEdit обрабатывает файлы TXT с измененным стилем как RTF (Rich Text Format — формат текстовых файлов с более гибкими возможностями, нежели TXT). Стили в таких файлах хранятся в начале файла в виде HTML-кода. И если файл начинается со строки <!DOCTYPE HTML><html><head></head><body>, TextEdit по какой-то причине считает его RTF-файлом, даже если это на самом деле TXT.

Получается, что, записав в TXT-файл, начинающийся с такой строки, HTML-код, можно заставить TextEdit его обработать. Правда, TextEdit обрабатывает далеко не любые элементы HTML, а лишь некоторые.

Какие атаки возможны при помощи TXT-файлов

Тщательно изучив возможности, которые этот метод атаки может предложить потенциальному злоумышленнику, Йибелло нашел несколько способов осложнить жизнь получателю. Вот что можно было сделать при помощи этой уязвимости:

  • Организовать DoS-атаку. Защитные механизмы системы не препятствуют открытию из объекта с расширением TXT локальных файлов. Поэтому, заставив пользователя кликнуть на вредоносный TXT-файл, его компьютер можно перегрузить — например, если из HTML-кода обратиться к файлу /dev/zero, представляющему собой бесконечный источник нулевых байтов. Впрочем, это не единственный пример.
  • Узнать реальный IP-адрес пользователя. Из TXT-файла можно вызвать AutoFS — штатную программу для монтирования файловой системы. С ее помощью можно попытаться подключить внешний накопитель. Особого вреда это не принесет, вот только процесс автоматического монтирования заставляет ядро системы посылать TCP-запрос, даже если пользователь сидит за прокси-сервером. Таким образом автор вредоносного текстового файла узнает точное время его открытия и зарегистрирует настоящий IP-адрес.
  • Похитить файлы с компьютера жертвы. Атрибут <iframedoc> позволяет вставлять в текстовый файл содержимое других файлов. Поэтому вредоносный TXT-файл может при открытии получить доступ к любому файлу, а потом передать его содержимое при помощи атаки типа Dangling Markup.

Об уязвимости Apple уведомили еще в декабре 2019, и она получила номер CVE-2019-8761. Больше информации об эксплуатации этой уязвимости можно узнать в посте Паулоша Йибелло.

Как оставаться в безопасности

Уязвимость CVE-2019-8761 была успешно закрыта в одном из обновлений 2020 года. Но гарантий, что это единственный недочет в ПО для работы с TXT-файлами, нет. Возможно, есть и другие, просто пока никто не придумал, как их эксплуатировать. Поэтому правильный ответ на вопрос «безопасен ли текстовый файл?» будет звучать примерно так: «На данный момент вроде бы да… но это не повод относиться к нему как к доверенному».

Так что мы бы рекомендовали в любом случае обучать сотрудников пониманию того, что любой файл может нести угрозу, даже если он выглядит как безопасный TXT. Кроме того, имеет смысл в любом случае контролировать все исходящие из компании информационные потоки при помощи специалистов из внутреннего или внешнего SOC.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Группа исследователей из нескольких немецких университетов и институтов обнаружила уязвимость в DNSSEC — наборе расширений протокола DNS, которые предназначены для повышения его безопасности, в первую очередь для противодействия DNS-спуфингу.
      Атака, эксплуатирующая эту уязвимость, которую они назвали KeyTrap, позволяет вывести из строя DNS-сервер, отправив ему единственный вредоносный пакет данных. Рассказываем подробнее об этой атаке.
      Как работает атака KeyTrap и чем она опасна
      Публично об уязвимости в DNSSEC стало известно только сейчас, однако она была обнаружена еще в декабре 2023 года и зарегистрирована как CVE-2023-50387. Ей присвоена оценка 7,5 по шкале CVSS 3.1 и уровень опасности «высокий». Полностью информация об уязвимости и соответствующей атаке пока не обнародована.
      Суть KeyTrap состоит в следующем. Атакующий создает собственный DNS-сервер, отвечающий на запросы кэширующих DNS-серверов (то есть серверов, которые непосредственно обслуживают запросы клиентов) вредоносным пакетом. Далее злоумышленник заставляет кэширующий сервер запросить DNS-запись у вредоносного DNS-сервера, который в ответ отправляет криптографически подписанную вредоносную DNS-запись. При этом подпись выполнена таким образом, что в процессе ее проверки атакуемый DNS-сервер зависает на продолжительное время с загрузкой процессора 100%.
      По словам исследователей, в зависимости от используемого на DNS-сервере ПО, эта атака может с помощью единственного вредоносного пакета заставить сервер зависнуть на срок от 170 секунд до 16 часов. В результате атаки KeyTrap можно не только лишить доступа к веб-контенту всех клиентов, которые пользуются выведенным из строя DNS-сервером, но и помешать работе различных инфраструктурных сервисов, таких как защита от спама, обработка цифровых сертификатов (PKI) и безопасная междоменная маршрутизация (RPKI).
      Сами исследователи называют KeyTrap «самой серьезной из когда-либо обнаруженных атак на DNS-серверы». Интересно, что изъяны в логике проверки подписи, которые делают эту атаку возможной, обнаружены еще в одной из самых ранних версий спецификации DNSSEC, опубликованной в 1999 году. То есть данной уязвимости без малого четверть века.
      Предпосылки для KeyTrap содержатся еще в RFC-2035 — спецификации DNSSEC, опубликованной в 1999 году
       
      Посмотреть статью полностью
    • Myllin
      От Myllin
      Всем привет. Имею 14 андроид и недавно проверял свой андроид свободным ПО Hypatia. Так вот она обнаружила неприятный результат. В телефоне покопался не нашел подобных файлов, что порекомендуете сделать? Может ли быть это ложным срабатыванием?

      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
    • KL FC Bot
      От KL FC Bot
      В реализациях протокола Bluetooth сразу для нескольких популярных операционных систем — Android, macOS, iOS, iPadOS и Linux — была обнаружена серьезная уязвимость, которая потенциально позволяет бесконтактно взламывать уязвимые устройства без каких-либо опасных действий со стороны их владельцев. Рассказываем об этом подробнее.
      Уязвимость в Bluetooth позволяет подключить фейковую клавиатуру
      Суть проблемы состоит в том, что уязвимое устройство можно заставить без подтверждения пользователем подключить фейковую Bluetooth-клавиатуру, обойдя проверки части операционной системы, ответственной за протокол Bluetooth. Соответствующий механизм подключения без аутентификации прописан в протоколе Bluetooth, а проблемы конкретных реализаций Bluetooth-стека в популярных операционных системах дают атакующему возможность этим механизмом воспользоваться.
      Далее такое подключение можно использовать для ввода команд, которые позволяют выполнять на атакуемом устройстве от имени пользователя любые действия, не требующие дополнительной аутентификации с помощью ввода пароля или биометрии (отпечатка пальца, сканирования лица и так далее). По словам обнаружившего данную уязвимость исследователя безопасности Марка Ньюлина, для успешной атаки не требуется какого-либо специального оборудования — достаточно ноутбука с Linux и стандартного адаптера Bluetooth.
      Как несложно догадаться, у атаки есть естественное ограничение, которое накладывает интерфейс Bluetooth: атакующий должен находиться недалеко от жертвы. Это исключает по-настоящему массовую эксплуатацию найденной уязвимости, но атаки с ее использованием могут угрожать отдельным людям, которые представляют особый интерес для взломщиков.
       
      Посмотреть статью полностью
    • Павел125
      От Павел125
      1. Windows 10. Какие файлы нужно копировать и чем(far manager)?
      2. Под чем загружаться(Kaspersky Rescue Disk , среда восстановления windows 10)?
    • Andreyuser
      От Andreyuser
      Здравствуйте, у меня был сохранён на пк файл с паролем с раcширением .txt.  Несколько дней назад авторизация на сайте перестала проходить, техподдержка ответила, что  пароль неправильный. Я посмотрел в свойствах файла там дата создания и изменения одинаковые 1 марта 2023 года 14:32:43. Мог ли файл быть перезаписан, скажем если при копировании текста с паролем случайно переместился текст? Как мне узнать, был ли  изменён файл и как востановить его? Помогите
      Пробовал через утилиту Recuva, но она ничего не находит, но я так понимаю она может восстановить только удалённые файлы, а какой программой изменённый текстовый txt файл восстановить? 
×
×
  • Создать...