Перейти к содержанию

Уязвимость в macOS позволяла использовать файлы TXT для атаки


Рекомендуемые сообщения

Сотрудникам, получающим электронную почту извне компании, обычно объясняют, какие файлы можно открывать, не беспокоясь за безопасность компьютера, а какие потенциально опасны. Скажем, исполняемые файлы EXE по умолчанию считаются небезопасными вложениями, как и офисные документы DOCX или XLSX, в которых могут быть зловредные макросы. А вот файлы с расширением TXT обычно считают безвредными по определению, ведь они не могут содержать ничего, кроме чистого текста. Однако всегда ли они абсолютно безопасны?

Нет, не всегда. Существует как минимум одна уязвимость (на данный момент уже закрытая), которую можно было использовать для атаки через файл TXT. Потому что важно не то, что в файле, а то, как он обрабатывается соответствующими программами.

Уязвимость в macOS CVE-2019-8761

Исследователь Паулош Йибелло (Paulos Yibelo) привлек внимание к достаточно интересному варианту атаки на компьютеры под управлением macOS через текстовый файл. Как и многие другие защитные решения, встроенная система безопасности macOS, Gatekeeper, считает файл TXT вполне доверенным — его можно скачивать и открывать встроенным редактором TextEdit без дополнительных проверок.

Однако редактор TextEdit — несколько более сложный продукт, чем привычный «Блокнот» (Notepad) из Microsoft Windows. Он умеет несколько больше — например, выделять часть текста жирным, менять цвет букв и так далее. Но сам по себе формат TXT для хранения такой информации о стилях не предназначен, так что TextEdit обрабатывает файлы TXT с измененным стилем как RTF (Rich Text Format — формат текстовых файлов с более гибкими возможностями, нежели TXT). Стили в таких файлах хранятся в начале файла в виде HTML-кода. И если файл начинается со строки <!DOCTYPE HTML><html><head></head><body>, TextEdit по какой-то причине считает его RTF-файлом, даже если это на самом деле TXT.

Получается, что, записав в TXT-файл, начинающийся с такой строки, HTML-код, можно заставить TextEdit его обработать. Правда, TextEdit обрабатывает далеко не любые элементы HTML, а лишь некоторые.

Какие атаки возможны при помощи TXT-файлов

Тщательно изучив возможности, которые этот метод атаки может предложить потенциальному злоумышленнику, Йибелло нашел несколько способов осложнить жизнь получателю. Вот что можно было сделать при помощи этой уязвимости:

  • Организовать DoS-атаку. Защитные механизмы системы не препятствуют открытию из объекта с расширением TXT локальных файлов. Поэтому, заставив пользователя кликнуть на вредоносный TXT-файл, его компьютер можно перегрузить — например, если из HTML-кода обратиться к файлу /dev/zero, представляющему собой бесконечный источник нулевых байтов. Впрочем, это не единственный пример.
  • Узнать реальный IP-адрес пользователя. Из TXT-файла можно вызвать AutoFS — штатную программу для монтирования файловой системы. С ее помощью можно попытаться подключить внешний накопитель. Особого вреда это не принесет, вот только процесс автоматического монтирования заставляет ядро системы посылать TCP-запрос, даже если пользователь сидит за прокси-сервером. Таким образом автор вредоносного текстового файла узнает точное время его открытия и зарегистрирует настоящий IP-адрес.
  • Похитить файлы с компьютера жертвы. Атрибут <iframedoc> позволяет вставлять в текстовый файл содержимое других файлов. Поэтому вредоносный TXT-файл может при открытии получить доступ к любому файлу, а потом передать его содержимое при помощи атаки типа Dangling Markup.

Об уязвимости Apple уведомили еще в декабре 2019, и она получила номер CVE-2019-8761. Больше информации об эксплуатации этой уязвимости можно узнать в посте Паулоша Йибелло.

Как оставаться в безопасности

Уязвимость CVE-2019-8761 была успешно закрыта в одном из обновлений 2020 года. Но гарантий, что это единственный недочет в ПО для работы с TXT-файлами, нет. Возможно, есть и другие, просто пока никто не придумал, как их эксплуатировать. Поэтому правильный ответ на вопрос «безопасен ли текстовый файл?» будет звучать примерно так: «На данный момент вроде бы да… но это не повод относиться к нему как к доверенному».

Так что мы бы рекомендовали в любом случае обучать сотрудников пониманию того, что любой файл может нести угрозу, даже если он выглядит как безопасный TXT. Кроме того, имеет смысл в любом случае контролировать все исходящие из компании информационные потоки при помощи специалистов из внутреннего или внешнего SOC.

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От KL FC Bot
      Учетные данные для входа в Microsoft Office — лакомый кусок для злоумышленников: получив доступ к чьей-то почте, они могут организовать атаку типа business e-mail compromise. Поэтому фишинговые письма, которые пытаются вынудить получателя ввести логин и пароль от их аккаунта Microsoft 365 на сайте, имитирующем страницу входа в учетную запись Office, приходят корпоративным пользователям с завидной регулярностью. А значит, крайне важно знать, на что следует обращать внимание, когда вас в очередной раз пытаются убедить перейти на такую страницу.
      Мы уже рассказывали про то, как злоумышленники выманивают учетные данные от аккаунтов Microsoft Office. Но их уловки постоянно совершенствуются, поэтому мы решили еще раз показать на конкретном примере, что именно должно казаться ненормальным, а заодно и рассказать о новых трюках. На этот раз в качестве наглядного пособия будет использовано фишинговое письмо, пришедшее одному из наших коллег.
      Новая фишинговая уловка: html-вложение
      Как правило, фишинговое письмо содержит ссылку на фальшивый сайт. Мы регулярно пишем о том, что нужно тщательно смотреть не только на внешний вид ссылки, но и на реальный адрес, зашитый внутри нее (в большинстве клиентов и в веб-интерфейсах он отображается, если подвести к ссылке курсор мыши). Очевидно, фишеры решили минимизировать риск того, что фальшивку заметят на этом этапе, а потому вместо ссылки начали присылать html-файл, который служит исключительно для автоматизации перехода.
      Пользователь получает письмо, кликает на html-вложение, которое открывается в браузере. Внутри — одна строчка кода javascript: window.location.href, параметром которого является адрес вредоносного сайта. Она заставляет браузер незамедлительно открыть расположенную по этому адресу страницу в том же окне. Вот, собственно, и все.
       
      View the full article
    • От KL FC Bot
      За последние пять лет зловреды-шифровальщики превратились из угрозы персональным компьютерам в серьезную опасность для корпоративных сетей. Преступники перестали гнаться за количеством зараженных компьютеров и вместо этого переключились на крупные цели. Атаки на коммерческие организации и государственные структуры приходится тщательно планировать, но в случае успеха суммы выкупов достигают десятков миллионов долларов.
      Вымогатели пользуются тем, что у компаний гораздо больше финансовых возможностей, чем у рядовых пользователей. Кроме того, многие современные вымогатели крадут данные перед тем, как их зашифровать, и угрожают их публикацией. Таким образом, перед пострадавшей компанией появляется перспектива репутационных издержек, проблем с акционерами и штрафов регуляторов, которая зачастую оказывается страшнее выкупа.
      По нашим данным, переломным стал 2016 год, когда всего за несколько месяцев число вымогательских кибератак на бизнес выросло втрое: если в январе 2016 мы фиксировали один случай каждые две минуты, то к концу сентября между инцидентами проходило всего 40 секунд.
      С 2019 года эксперты наблюдают регулярные кампании целой серии таргетированных шифровальщиков (так называемые «big game hunting ransomware»). Их операторы публикуют на своих ресурсах статистику по проведенным атакам. Мы использовали эти данные, чтобы составить рейтинг самых активных кибергруппировок.
       
      View the full article
    • От KL FC Bot
      Из сервиса Trello, по данным СМИ, утекли конфиденциальные данные русскоязычных пользователей из нескольких сотен крупных и нескольких тысяч небольших компаний. Но на самом деле это не утечка в общепринятом смысле этого слова: компании годами использовали Trello, не озаботившись нормальными настройками приватности. А весь шум сейчас из-за того, что исследователи просто обнародовали этот факт.
      На самом деле информация о том, что очередная компания хранит важные данные в открытом доступе в сервисе Trello, попадает в новости каждые несколько лет. Например, три года назад к той же проблеме пытался привлечь внимание исследователь Кушагра Патак (Kushagra Pathak) на площадке Medium. Помогает, к сожалению, ненадолго.
      В чем причина «утечки» и что утекло
      Все очень просто. В сервисе Trello для совместной работы над проектами используются так называемые «доски». Доступ к каждой из досок настраивается отдельно. По умолчанию доска создается в режиме «Приватная», то есть она не видна никому за пределами команды. Но порой возникает необходимость показать доску кому-то, кто не является участником рабочей команды, и тогда доску переводят в статус «Публичная». Она становится доступна любому пользователю по прямой ссылке, однако при этом информация на доске индексируется и поисковыми движками.
      Так что, правильно сформулировав поисковый запрос, можно обнаружить много разных публичных досок, принадлежащих разным компаниям. А вместе с этим – и многочисленные учетные данные от разных сервисов, сканы документов и конфиденциальные рабочие обсуждения серьезных компаний, размещенные на публичных досках. Разнообразные исследователи уже несколько дней резвятся, публикуя всевозможную информацию, которая явно не предназначалась для посторонних глаз.
      Доступ абсолютно посторонних людей к виртуальному рабочему пространству вашей компании в Trello может обернуться неприятностями, даже если вы не храните там конфиденциальные документы и пароли. Злоумышленники могут использовать рабочую информацию для организации убедительных атак методами социальной инженерии. Например, вступив в переписку кем-то из сотрудников и усыпив его бдительность пониманием мелких нюансов проекта, над которым работает команда в данный момент.
       
      View the full article
    • От KL FC Bot
      Рост курса криптовалют привел к повышению спроса на оборудование для майнинга, а ковидные ограничения — к падению предложения. В результате по всему миру из продажи в очередной раз исчезли мощные видеокарты и майнинг-фермы, очереди на новые поставки растянулись на месяцы, а киберпреступники, как это часто бывает, приспособились использовать кризис в своих целях.
      Например, под видом продажи дефицитного оборудования мошенники выманивают у покупателей криптовалюту, используя популярный сервис Google и клон сайта производителя оборудования для майнинга. Об этой схеме мы сейчас и расскажем.
      Как работает мошенничество с майнинговым оборудованием
      Выглядит все примерно так. Потенциальный криптодобытчик получает на почту письмо-уведомление о том, что его упомянул в Документе Google пользователь с никнеймом BitmainTech (это название китайского производителя ферм для майнинга).
      Сервисы Google — Формы, Таблицы, Календарь, Фото и другие — мошенники давно и активно используют для фишинга и спам-рассылок. Эти платформы могут автоматически рассылать уведомления всем, с кем автор поделился файлом, записью календаря и так далее. Поскольку письма приходят не от самого автора, а от легитимных и популярных сервисов аж самого Google, они обычно легко проходят спам-фильтры.
      Самому получателю тоже сложнее заподозрить неладное: в поле «от кого» будет значиться респектабельное @docs[.]google[.]com, имя пользователя отправитель может выбрать на свой вкус, а настоящий электронный адрес отправителя спрятан, так что даже абракадабра в нем не выдаст злоумышленников.
        View the full article
    • От KL FC Bot
      Не так давно мы писали про уловки группировки DarkSide, которая пыталась оказать давление на жертву, рассылая угрозы ее партнерам. Мы изучили сайт этой группировки, DarkSide Leaks, и обнаружили, что она пытается вести себя как полноценный провайдер онлайн-сервиса, используя традиционные маркетинговые приемы. В этом посте мы собрали пять наиболее наглядных примеров такой трансформации.
      Darkside налаживает контакты с прессой
      Злоумышленники пытаются организовать что-то вроде пресс-центра — якобы для того, чтобы дать возможность журналистам задавать вопросы и получать информацию из первых рук, а также узнавать о грядущих публикациях похищенной информации заранее.

      На самом деле понятно, что настоящая цель операторов DarkSide — получить как можно больший резонанс в Сети, раздуть шумиху. Ведь чем чаще о них пишут, тем больше вероятность, что очередная жертва решит молча заплатить деньги.
       
      View the full article
×
×
  • Создать...