Quali applicazioni sono a rischio da "Backwards Unicode Names" e quali sono le mitigazioni?

Question

Quali applicazioni sono a rischio da "Backwards Unicode Names" e quali sono le mitigazioni?

#1 da (4 voti)
#2 da (2 voti)

5

Esiste una vulnerabilità in cui alcune applicazioni (come explorer.exe) rispondono a caratteri Unicode che cambiano la direzione del testo (da destra a sinistra o da sinistra a destra). Questo può essere usato per mascherare un file EXE in uno che sembra un documento di testo.

Ulteriori informazioni su questo argomento ...

Quali applicazioni sono vulnerabili a questa minaccia e quali sono le attenuazioni / contromisure?

Aggiorna

Ad esempio:

Mitigare Esplora risorse con il prodotto XXX di AntiVirus
Filtra gli allegati e-mail utilizzando YYY
Limita l'esposizione Mac con il prodotto iZ

La mia esperienza personale suggerisce che la maggior parte dei prodotti richiede un aggiornamento o una configurazione per impedire che gli utenti vengano sfruttati.

Forse chiamando "i nomi Unicode all'indietro" una vulnerabilità non è corretta. Tuttavia, considero qualsiasi applicazione che non fornisce i controlli per mitigare l'uso ostile di una vulnerabilità. Forse questa sicurezza è regolata su una classe di prodotti come i filtri e-mail o i prodotti AV.

Il mio intento è quello di identificare i prodotti necessari per evitare che questo venga sfruttato e mantenere l'uso ragionevole e appropriato di B.U.N.'s.

unicode malware appsec

posta random65537 13.05.2011 - 18:10

fonte

2 risposte

Leggi altre domande sui tag unicode malware appsec

Descrizione del lavoro di Security Manager Le pagine web possono riconoscere che ho salvato la mia password?

score 4 · Answer 1

Dubita che possiamo classificarlo come una vulnerabilità. Questo è un caso in cui il supporto di funzionalità legittime non riesce a fornire protezione dell'usabilità nella forma corretta. Ci sono alcune lingue in cui l'orientamento del testo va da destra a sinistra. Il consorzio Unicode aveva intenzioni sincere di supportare tali lingue. A proposito, l'argomento in sé non è nuovo. A proposito dello sfruttamento di Unicode, sono stati pubblicati due documenti di Chris Weber:

Direi che dovresti puntare l'attenzione su qualsiasi applicazione desktop moderna che supporti Unicode - c'è un'alta probabilità che sia soggetta a tali attacchi. Andando oltre, voglio ammettere che l'implementazione errata o fasulla di Unicode può portare a qualsiasi tipo di bug che inizi dallo spoofing visivo fino al buffer overflow.

Unicode consiglia il seguente documento da leggere: link .

score 2 · Answer 2

La radice del problema è che il sistema operativo interpreterà un file come un eseguibile ma non lo mostrerà. Al momento, l'utente deve cercare al nome del file, e pensare qualcosa come "mmh, questo termina con '.exe', così Windows proverà ad eseguire quel file". Le finestre in questione sono proprio lì ! Quindi questo è il caso di un utente che cerca di superare il proprio computer, e in mancanza di ciò. Questo non è limitato a Unicode: pochissimi utenti sono consapevoli che ".pif", ".com", ".scr" ... attivano anche l'esecuzione.

Il modo "pulito" sarebbe quello di rendere l'applicazione visualizzare il nome con un'indicazione visiva esplicita e non ambigua di ciò che accadrà se l'utente decide di "aprire" il file; tuttavia, un sistema Windows abbastanza recente lo farà già (ti avviserà che il file proviene da Internet in generale) e la maggior parte degli utenti semplicemente farà clic sul pulsante "fai come dico, stupido!" pulsante - e nemmeno ricordare che tale avviso è apparso.

In parole più brevi, Unicode non è realmente una vulnerabilità qui: è solo una funzionalità che può essere utilizzata, tra molte altre caratteristiche, per rendere un tipo di file in qualche modo nascosto. Ma il vero problema di sicurezza non c'è; è negli utenti che insiste nell'esecuzione di file eseguibili non affidabili. Contromisure efficienti spesso implicano il filtraggio dei dati a monte, in modo tale che l'utente non veda mai i file offensivi. Molti server di posta rimuovono automaticamente i file eseguibili dalle e-mail (ma gli utenti - e i produttori di virus - imparano presto soluzioni alternative come la memorizzazione di file eseguibili negli archivi Zip crittografati).