Eredetileg 2014. február 17-én jelent meg.
A videofájlokat általában nem tartják potenciálisan rosszindulatú vagy fertőzött fájltípusoknak, de lehetséges, hogy hogy rosszindulatú szoftverek beágyazódjanak egy videófájlba, vagy videófájlnak álcázzák magukat. E gyakori tévhit miatt az audio- és videofájlok érdekes fenyegetési vektorok a rosszindulatú programok írói számára.
Miért aggódunk a videofájlok miatt?
- Media a lejátszók gyakran használt szoftverek, a felhasználók hajlamosak hosszabb ideig használni őket, és így a nyitva hagyják más feladatok közben, és gyakran váltogatják a médiafolyamokat.
- A médialejátszókban számos sebezhetőséget találnak. A NIST [1] több mint 1200 sebezhetőséget mutat ki 2000 és 2000 között. 2014 [2]. 2020 elején a NIST egy új, nagyfokú sebezhetőséget, a CVE-2020-0002-t jegyezte fel az Androidban. Media Keretrendszer.
- A vonzó videotartalmak és a nagy sebességű internet arra készteti a felhasználókat, hogy figyelmetlenül töltsenek le és osszanak meg fájlokat, és mivel ezeket a fájlokat viszonylag ártalmatlannak tartják, a felhasználók valószínűleg lejátsszák a nekik adott fájlokat.
- Az érintett fájlformátumok bináris adatfolyamok, és általában meglehetősen összetettek. Sok elemzésre van szükség ahhoz, hogy manipulálásukhoz, és a lejátszási számítások könnyen eredményezhetnek egészértékű hibákat.
- A fájl általában nagy; a felhasználók valószínűleg kihagyják a szkennelési megoldásokat, hogy elkerüljék a teljesítményre gyakorolt hatást.
- Viszonylag ártalmatlannak tekintik őket - a felhasználók valószínűleg lejátsszák a nekik adott fájlokat.
- Sokféle különböző audio lejátszó és sok különböző codec és audio fájl plug-in létezik, mindegyik amelyeket általában nem a biztonságra összpontosító emberek írtak.
- A felhasználók számos megbízhatatlan forrásból töltenek le videókat, és a videók meglehetősen magas jogosultsággal és prioritással futnak. A Windows Vista rendszerben például egy alacsony jogosultságú Internet Explorer-példány is elindíthatja a tartalmat egy magasabb jogosultságú Windows Media lejátszóba.
- A videókat gyakran a felhasználó kifejezett tudta nélkül hívják elő (pl. weboldalba ágyazva) [3].
Tipikus sebezhetőségi vektorok
Fuzzing a médialejátszó egy módosított videó fájl által
A fuzzing egy általános módszer arra, hogy egy programot arra kényszerítsünk, hogy váratlanul viselkedjen azáltal, hogy érvénytelen, váratlan vagy véletlenszerű adatokat adunk a bemenetekhez.
A fuzzingot a mély hibák megtalálására tervezték, és a fejlesztők a kód robusztusságának biztosítására használják, azonban a a fejlesztő legjobb eszköze a felhasználó kihasználására is használható. A médialejátszók esetében, amelyek állítólag "formátumos szigorú", egy sérült valódi videofájl számos hibát fedhet fel, amelyek többnyire a nullmutatók dereferenciázásából adódnak. Ez azt eredményezi, hogy nem megfelelő memória-hozzáférést eredményez, ami lehetőséget ad arra, hogy a memóriába olyasmit írjanak, amit nem erre szántak. nem volt szándékosan kiírva [4]. Szerencsére a médialejátszók fuzzolásához a fájlformátum alapos ismerete szükséges, különben a a lejátszó egyszerűen figyelmen kívül hagyja a sérült fájlt.
Hiperhivatkozások beágyazása egy videófájlba
Egy közvetlenebb módszer az URL beágyazása a modern médiafájlokba.
A Microsoft Advanced System Format (ASF) például lehetővé teszi egyszerű szkriptparancsok végrehajtását. Ebben az esetben, az "URLANDEXIT" egy adott címre és bármely URL után kerül. Amikor ez a kód végrehajtódik, a felhasználó a következő oldalra kerül egy futtatható fájl letöltésére, amelyet gyakran kódkódnak álcáznak, és arra kérik a felhasználót, hogy töltse le a lejátszáshoz szükséges fájlokat. média lejátszásához.
MetaDefender Cloud, az OPSWAT's anti-malware multiscanning tool, van egy példa egy ilyen fájlra:
https:// metadefender.opswat.com/results#!/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information.
A fenyegetés neve "GetCodec". Ebben a példában a médialejátszót egy trójai letöltésére szolgáló linkre irányították át. Lásd: a beolvasott trójai itt.
Példák a fájltípusok kihasználására
Az alábbi táblázatban felsoroljuk azokat a népszerű médiafájl-formátumokat, amelyeket kihasználva a felhasználót rosszindulatú webhelyekre irányítottak, vagy tetszőleges kódokat hajtottak végre távolról a célfelhasználók rendszerein.
| Fájlformátum | Érzékelés | Leírás |
| Windows .wma/.wmv | Downloader-UA.b | Kihasználja a digitális jogkezelés hibáját |
| Valódi Media .rmvb | W32/Realor.worm | Fertőzi a Real Media fájlokat, hogy rosszindulatú webhelyekre mutató linket ágyazzon be. |
| Valódi Media .rm/.rmvb | Emberi kézműves | Rosszindulatú weboldalak indítása felszólítás nélkül |
| QucikTime.mov | Emberi kézműves | Pornográfiai oldalakra mutató beágyazott hiperlinkek indítása |
| Adobe Flash.swf | Exploit-CVE-2007-0071 | Sebezhető sérülékenység a DefineSceneAndFrameLabelData tagben |
| Windows.asf | W32/GetCodec.worm | Megfertőzi az .asf fájlokat, hogy rosszindulatú weboldalakra mutató linkeket ágyazzon be. |
| Adobe Flash.swf | Exploit-SWF.c | Sebezhetőség az AVM2 "új funkció" opkódjában |
| QuickTime.mov | Emberi kézműves | Tetszőleges kódot hajt végre a célfelhasználó rendszerén |
| Adobe Flash.swf | Exploit-CVE-2010-2885 | Biztonsági rés az ActionScript Virtual Machine 2-ben |
| Adobe Flash.swf | Exploit-CVE2010-3654 | Sebezhetőség az AVM2 MultiName gomb osztályban |
| Windows .wmv | CVE-2013-3127 kihasználása | WMV videó dekódoló távoli kódvégrehajtási sebezhetőség |
| Matroska videó .mkv | Exploit-CVE2019-14438 | Sebezhetőség a VLC-ben, tetszőleges kód futtatása a célfelhasználó rendszerének jogosultságaival |
Megoldások
Számos kártevő-ellenes szolgáltató már a média típusú fájlokban található URL-alkatrészek keresésével is felismeri a kártevőket. OPSWAT
MetaDefender Multiscanning technológia több mint 35 rosszindulatú szoftver elleni programot használ fel, és jelentősen javítja a felismerést.
ismert és ismeretlen fenyegetések felismerését. Deep CDR támogatja a videó- és hangfájlformátumokat is, és segíthet a Zero Day megelőzésében.
támadások megelőzésében. MetaDefender's file-based vulnerability assessment technológia képes felismerni a médialejátszó sebezhetőségeit
telepítőprogramokat, mielőtt azok telepítésre kerülnének.
Ha nem rendelkezik a OPSWAT megoldásokkal, akkor jobban oda kell figyelnie a médiafájlokra, ne tekintse meg a nem megbízható fájlokat, soha ne ne futtasson médialejátszókat megnövelt jogosultságokkal, és ne fogadja el ismeretlen kodekek vagy furcsa licencek letöltését. Mindig tartsa naprakészen a médialejátszó szoftverét a sebezhetőségek elkerülése érdekében.
Hivatkozások
[1]Nemzeti sebezhetőségi adatbázis.
[2]Killer Music: Hackerek kihasználják a Media lejátszó sebezhetőségeit.
[3]David Thiel. "ASoftware sebezhetőségének feltárása".
[4]Colleen Lewis, Barret Rhoden, Cynthia Sturton. "Struktúrált véletlenszerű adatok használata a pontos fuzzoláshoz Media Players".
