Il codice autoeseguibile dannoso può esistere solo nei dati EXIF nelle immagini JPEG?

Naviga le tue risposte
1

Diciamo che abbiamo un'immagine JPEG infetta che solo visualizzandola può eseguire automaticamente il codice malevolo memorizzato al suo interno. Può farlo sfruttando i buchi di sicurezza del visualizzatore di immagini usando overflow del buffer o altre tecniche. È l'unico posto in cui memorizzare il codice pronto per l'esecuzione, all'interno dei segmenti di dati EXIF di un'immagine JPEG?

Supponendo che qualcuno usi EXIFtool o FileMind QuickFix per rimuovere tutti i metadati EXIF. Cancellerebbe l'immagine dal codice che potrebbe essere eseguita durante la visualizzazione dell'immagine, rimuovendo così la minaccia memorizzata all'interno?

PS: l'immagine può essere visualizzata e non è ad esempio un file * .exe rinominato. Non siamo infettati da un altro malware che può essere letto usando la steganografia tecniche il codice nascosto nelle immagini ed eseguilo. Siamo puliti e apriamo solo l'immagine.

EDIT: il codice auto-eseguibile del caso può essere inserito all'interno dei dati effettivi dell'immagine separatamente dai metadati EXIF, questo codice può essere rilevato. Se fosse crittografato, sarebbe necessario un altro programma dannoso per decrittografarlo. Quindi, come posso rilevare questo codice all'interno dell'immagine?

    
posta pgmank 30.04.2015 - 11:08
fonte

2 risposte

4

Non necessariamente.

Il codice malevolo autoeseguibile si avvale di bug che influenzano il codice di alcuni software che gestiscono i dati. Si fa riferimento a un bug nel modo in cui EXIF deve essere elaborato, ma i dati dell'immagine devono essere gestiti dal software e il codice che gestisce questi dati potrebbe anche avere bug che potrebbero potenzialmente essere sfruttati.

La rimozione dei dati EXIF proteggerà dalle minacce che tentano di utilizzare bug che influiscono sulla manipolazione dei dati EXIF, ma non farà nulla contro le minacce che cercano di sfruttare le routine di gestione dei dati delle immagini reali (per questo si potrebbe immaginare un ridimensionamento dell'immagine che altererebbe i dati dell'immagine , tuttavia potresti voler prendere delle misure affinché il software che effettua questo ridimensionamento non possa essere sfruttato con successo ...).

In ogni caso, tali minacce possono riguardare solo versioni molto specifiche di software e librerie, poiché mirano a un bug molto specifico che non possono essere una sorta di "exploit generico" che interessa tutti gli utenti che aprono l'immagine indipendentemente dal software.

Modifica: si può trovare anche una discussione su questo argomento in StackOverflow .

    
risposta data 30.04.2015 - 11:31
fonte
2

Is the only place to store the code ready for execution, inside the EXIF data segments of a JPEG image?

Non necessariamente. Tuttavia, è molto più probabile che esista un errore all'interno del codice di elaborazione EXIF. Il codice di elaborazione JPEG per l'immagine reale è piuttosto standard, utilizzando algoritmi testati e collaudati. È l'elaborazione EXIF che è più personalizzata per applicazione a seconda di cosa sta facendo con i dati.

Assuming that someone uses the EXIFtool or FileMind QuickFix to remove all EXIF metadata. Would this clear the image from the code that could execute when viewing the image, thus removing the threat stored inside ?

È possibile. Tuttavia qui stai spostando il rischio di un exploit dal codice di visualizzazione dell'immagine allo strumento EXIF. Esiste ancora la possibilità che lo strumento EXIF contenga difetti che potrebbero consentire di sfruttarlo. È tuttavia possibile eseguire lo strumento su una macchina separata con accesso di rete limitato e quindi trasferire i dati dell'immagine una volta rimossi i dati EXIF.

    
risposta data 01.05.2015 - 12:17
fonte

Leggi altre domande sui tag

Perché metasploit funziona ancora? Che cosa fa questo codice JavaScript dannoso? [chiuso]