Exchange 2013 blocca gli allegati di file txt: ci sono motivi di sicurezza?

5

Il mio amministratore di Exchange sta configurando il 2013 ed è impostato per bloccare gli allegati di file txt in modo specifico (così come altri).

Ho provato a cercare i rischi associati agli allegati txt ma non sono riuscito a trovarne. Ci sono dei rischi di cui ho bisogno per essere a conoscenza degli allegati txt circostanti?

Modifica

L'amministratore non ha impostato le regole per il blocco, ma ha rilevato che questa era la regola predefinita per Exchange 2013 durante una migrazione dal 2010. Stava causando problemi nel nostro ambiente, quindi mi ha chiesto di approvare la whitelisting di .txt file.

    
posta schroeder 10.07.2014 - 17:01
fonte

4 risposte

8

Ho supportato e amministrato l'email per 18 anni e non ho mai avuto un valido motivo per bloccare gli allegati di testo. Ecco alcuni problemi che posso pensare, che non sono esclusivi solo per gli allegati TXT , ma piuttosto riguardano gli allegati in generale

Analisi Unicode

Gli unici due problemi che ho riscontrato sono questo bug unicode ma è teoricamente possibile che altre applicazioni che hanno problemi analizzano e / o visualizzano unicode.

Tipo MIME vs estensione file

Gli allegati in SMTP includono non solo un'estensione di file .txt , ma anche un tipo MIME e una codifica corrispondente (come menzionato sopra). Se uno qualsiasi di questi "metadati" non corrisponde (vbscript con un mime di testo o viceversa) è possibile ottenere risultati imprevisti da un client.

I problemi possono includere

  • Le icone degli allegati di file appaiono come un file TXT nel client, ma in realtà sono un EXE
  • Client (o servizi) che gestiscono in modo errato l'allegato, potenzialmente eseguendolo
  • Una variazione di quanto sopra che provoca il client (outlook / thunderbird, ecc.) per scaricare un'immagine o verificare una firma DKIM, perdendo l'anonimato del client.

Outlook

Poiché il client più comune in un ambiente Exchange 2013 è Outlook, mi concentrerò su questo, anche se la maggior parte dei problemi qui sono stati esaminati a fondo e non è più un problema (purché tu sia su un build corrente e patchato).

Rischio del riquadro di anteprima di Outlook

Il riquadro di anteprima di Outlook utilizza una speciale versione bloccata di IE. Dato che IE può eseguire dati "di testo" come se fossero HTML / XSS o qualsiasi altro contenuto attivo, ciò potrebbe rappresentare un rischio per la sicurezza. (Vulnerabilità di Outlook come il pannello di anteprima è successo nel passato)

Rischio server WebReady Exchange

Un simile allegato al parser HTML è installato sul server Exchange stesso chiamato WebReady e converte gli allegati in HTML per i client Outlook Web Access. Questo è già stato un problema in passato, causando l'esecuzione di vulnerabilità e codice eseguibile nel contesto del server Exchange stesso. Leggi ulteriori informazioni su questa funzione di sicurezza qui.

Riepilogo

A mio parere, prima che l'amministratore blocchi gli allegati TXT, dovrebbe prendere in considerazione la possibilità di disabilitare Webready e di indirizzare il frutto in sospensione inferiore prima:

  • Autenticazione migliorata per gli utenti finali (smartcard, ecc.)
  • AV / AS sul server e gateway
  • Sicurezza SMTP incluso DMARC, DKIM, SPF e TLS opportunistico / sicuro ove possibile
  • Scansione contenuto
  • Crittografia del portale su richiesta, crittografia SMIME o PGP

Se disabilitano gli allegati come forma di gestione delle informazioni, per impedire la divulgazione (o la responsabilità della ricezione) dei dati, dovrebbero prendere in considerazione controlli alternativi.

Se disabilitano gli allegati TXT per ragioni di sicurezza / crittografia e vogliono che tutti i dati siano crittografati, sappi che alcuni software di crittografia inviano il carico utile crittografato o pubblico ai clienti utilizzando i dati TXT. Al contrario, vietare questa attività è facile poiché nel file è presente una stringa che può essere scansionata.

Solo per chiarimenti, con "blocco" intendi la classificazione come allegato di Livello 1 o Livello 2 in Outlook?

    
risposta data 10.07.2014 - 17:18
fonte
2

Oltre alla risposta molto completa di makerofthings7, un'altra ragione potrebbe essere quella di prevenire attacchi di phishing che scavalcano contenuti pericolosi nell'accesso TXT.

Ad esempio, se invii un file chiamato ILOVEYOU.EXE.TXT, firmalo come "nonna" e istruisci l'utente a salvare e rinominare il file - una certa percentuale di utenti seguirà felicemente queste istruzioni per vedere cosa "nonna" "li ha inviati.

    
risposta data 27.07.2014 - 11:24
fonte
1

Non ci sono rischi specifici associati agli allegati di testo normale come definiti dalla RFC.

Rif: link

I sistemi operativi come Windows associano l'estensione "txt" del nome-file al tipo MIME text / plain e hanno un'associazione eseguibile on-click / open con qualche programma definito (come notepad / wordpad , ecc.)

Per impostazione predefinita sulla maggior parte dei client del sistema operativo (Windows e molti altri) questo programma di associazione non ha vulnerabilità di sicurezza pubblicate con conseguente apertura di un file di testo normale. In effetti, se lo facessero, nessun messaggio di posta elettronica potrebbe mai essere aperto / previsto per paura che semplicemente il rendering del testo eseguisse software dannoso.

Valutazione: l'amministratore ha bloccato un errore con estensione TXT.

Ulteriori analisi: le estensioni dei file sono intrinsecamente prive di significato .

Ad esempio, un virus eseguibile del sistema operativo può avere QUALSIASI nome-file / estensione. Se cliccato / aperto, il contenuto del file verrà elaborato da un programma di lettura associato all'estensione.

In effetti, è prassi comune negli ambienti aziendali ignorare le regole di blocco dell'estensione dei file di Exchange semplicemente rinominando i file con un'estensione diversa o semplicemente comprimendo il contenuto (dando al file un'estensione ".zip") in modo che il lettore possa ricevere esso.

Ad esempio, non è raro che gli sviluppatori scambino file / snippet sorgente di lingua via email. Tali file sono di tipo MIME "plain / text" eppure molti amministratori di Exchange bloccheranno i file con nome ".c" o ".cpp", credendo erroneamente che i file di origine della lingua siano in qualche modo intrinsecamente eseguibili.

    
risposta data 28.07.2014 - 17:12
fonte
0

È anche possibile che tutti gli allegati siano bloccati, indipendentemente dall'estensione. Oppure, potrebbe esserci una politica organizzativa che consente solo determinati tipi di file - forse solo .pdf è stato approvato, e quindi .txt è esplicitamente bloccato.

Sebbene non sia necessariamente un problema di sicurezza, c'è la possibilità che qualcuno possa inviare un sacco di file .txt molto grandi che consumano molto spazio di archiviazione. Allo stesso modo, l'apertura di un file .txt di grandi dimensioni può causare problemi alle risorse di sistema. Ad esempio, l'apertura di un file .txt con 250 MB di dati su un'unica riga causa problemi in Notepad.exe ...

Ma questi possono essere esempi oscuri / giustificazioni.

    
risposta data 27.07.2014 - 20:19
fonte

Leggi altre domande sui tag