Un logiciel malveillant peut-il être attaché à une image?
J'ai un petit nombre d'employés qui utilisent un ordinateur d'entreprise, mais ces gens ne sont pas très avertis en technologie. Ils utilisent un client de messagerie et un client de messagerie.
Je suis sûr qu'ils ne cliqueraient pas sur le fichier .exe ou .Zip dans un e-mail sans réfléchir, et je sais que c'est un sujet de préoccupation.
Cependant, je pense aux images. En fait, quelle que soit la capacité d'une personne à utiliser la technologie, je pense que joindre des éléments (code ou autre) à une image peut constituer un risque pour la sécurité.
Que peut-on attacher aux images pour nuire à autrui?
Je crois que les images peuvent poser un risque pour la sécurité car elles "s'exécutent automatiquement" ou quelque chose.
Il y a tellement de façons que les images peuvent être reçues par un ordinateur (y compris le téléphone ou la tablette bien sûr):
- email
- iMessage (or any other messaging app)
- someone right-clicking and saving an image from a web page
- just viewing a web page of course downloads the image to cache
Quelles précautions dois-je prendre concernant les quatre éléments ci-dessus? Quelqu'un peut-il simplement attacher du code à une image et l'exécuter?
Que dois-je faire pour empêcher l'utilisation d'images contre mes ordinateurs?
Je suppose que vous ne pouvez pas simplement attacher du code à une image et à l'iPhone d'iMessage. Et Android?
Les autres réponses parlent principalement d'attacher du code arbitraire aux images via des techniques stéganographiques, mais ce n'est pas très intéressant car cela nécessite que l'utilisateur soit complice de l'extraction et de l'exécution de cela. L'utilisateur pourrait simplement exécuter du code malveillant directement si tel est son objectif.
Vraiment, vous vous demandez s'il existe une possibilité d'exécution de code arbitraire inattendue lors de la visualisation d'une image. Et oui, il existe une telle possibilité qu'un attaquant construise une image malveillante (ou quelque chose qui prétend être une image) qui cible des implémentations de visualisation d'images spécifiques avec des failles connues. Par exemple, si une visionneuse d'image alloue un tampon et calcule la taille de tampon nécessaire à partir d'un calcul naïf width * height * bytes_per_pixel, Une image malveillante peut signaler des dimensions suffisamment grandes pour provoquer un débordement du calcul ci-dessus, puis obliger la visionneuse à allouer un tampon plus petit que prévu, permettant ensuite une attaque par dépassement de tampon lorsque les données y sont lues.
Exemples spécifiques:
- http://technet.Microsoft.com/en-us/security/bulletin/ms05-009
- http://technet.Microsoft.com/en-us/security/bulletin/ms04-028
- http://www.Adobe.com/support/security/bulletins/apsb11-22.html
- https://www.mozilla.org/security/announce/2012/mfsa2012-92.html
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1205
- http://en.wikipedia.org/wiki/Windows_Metafile_vulnerability
En général, ce genre de choses est difficile à protéger. Certaines choses que vous pouvez faire:
- Gardez vos systèmes et applications à jour.
- Activez DEP .
- Activez ASLR si possible.
- Évitez d'exécuter des programmes avec des privilèges administratifs.
- Sous Windows, EMET de Microsoft pourrait également fournir une certaine protection.
Oui, il existe des moyens "d'exploiter" les dépassements de tampon.
Parfois, le code peut devoir être exécuté via un script distinct, et en théorie, vous pouvez assembler un virus à partir de plusieurs images qui contenaient du code caché dans l'image à l'aide de la sténographie, mais il existe des moyens plus simples.
Fondamentalement, de nombreux systèmes informatiques s'attendaient à ce que les images soient conformes aux spécifications exactes pour le type et la plage n'a pas correctement vérifié les formats/paramètres transmis.
En `` concevant '' une image pour qu'elle ressemble extérieurement à ce qu'elle est conforme mais pas en interne, il devait être possible de déclencher une corruption de pile/des dépassements de tampon qui permettraient au code caché dans une image d'être exécuté sous l'autorité de l'utilisateur.
Mais notez que cela ne s'applique pas UNIQUEMENT aux images, il peut s'appliquer à N'IMPORTE QUEL fichier, jetez un œil à l'exploit récent RTF dans MS Word.
Vous pouvez toujours masquer des fichiers/programmes/quoi que ce soit dans "l'espace libre" de n'importe quel fichier. Ensuite, vous pouvez exécuter un script plus tard pour extraire et/ou compiler ce que vous avez caché ... Par exemple, vous pouvez intégrer un exécutable malveillant (ou un script plus petit) dans plusieurs images sur un site Web. Lorsqu'un utilisateur se rend sur le site Web, il télécharge les images.
En savoir plus sur Slack Space ici: http://www.computerhope.com/jargon/s/slack-space.htm puis jouer avec lui-même en saisissant un éditeur hexadécimal ( http://mh-nexus.de/en/hxd/ ) et déconner.
Pour à peu près n'importe quel format de fichier, les programmes qui le lisent peuvent avoir des bogues exploitables par un fichier conçu de manière malveillante.
Cela peut se produire (et s'est produit) également pour les images; mais il serait généralement limité à un seul programme (ou bibliothèque) particulier le lisant, et non à une "image avec malware" générale qui attaque tous ces programmes.
Même les fichiers texte ne sont théoriquement pas sûrs si les programmes essaient de faire quelque chose d'intéressant avec eux. Une injection SQL dans un article de blog est essentiellement un "malware joint au texte"; il y avait une vulnérabilité dans Python permettant un crash (= déni de service) en soumettant des données de texte malveillantes et en prétendant qu'elles sont en encodage UTF-7, en exploitant un bogue dans ce décodeur; et il existe des attaques basées sur sur la rupture des analyseurs XML par, encore une fois, des données de texte proche malveillantes.
Oui, il est possible de masquer les logiciels malveillants dans une image. Ce n'est pas une attaque très courante, mais récemment, il semble que les auteurs de logiciels malveillants commencent à cacher les logiciels malveillants à l'intérieur des images.
L'analyse des logiciels malveillants n'est pas mon truc. si vous voulez plus d'informations, recherchez " Steganography Malware " .
Un conseil est de ne pas ouvrir les e-mails provenant de sources non fiables/inconnues.
Le message texte brut est que lorsque le client de messagerie ne lit que du texte brut, aucun des scripts potentiellement dangereux ou masqués ne sera interprété ou exécuté du tout. Ce sera juste une chaîne pour le client de messagerie.
Les exploits ne sont que cela, des exploits. Quelqu'un trouve une vulnérabilité dans du code largement utilisé, puis se prépare à préparer le terrain pour que cette vulnérabilité fasse son travail. Imaginons par exemple que quelqu'un ait compris qu'un client de messagerie largement utilisé a un bogue qui conduit à un débordement de tampon dans certaines circonstances spécifiques. Si suffisamment de données mal formées sont introduites dans le tampon, elles débordent sur la pile. Maintenant, vous pouvez prendre une image, mal formée exactement comme elle doit l'être pour provoquer le débordement de la mémoire tampon, y incorporer des logiciels malveillants et remplir la fin des données avec un tas de NOP, puis une petite routine d'assemblage intelligente qui est vidée sur le pile, qui, lors de l'exécution, pointe directement vers le logiciel malveillant déjà chargé en mémoire dans le tampon d'image. Tout ce qu'un utilisateur doit faire pour être infecté, c'est que l'image mal formée soit affichée dans l'application vulnérable. Il s'agit d'un canal d'attaque plus courant dans les exploits zero-day très spécifiques.
Les remèdes à ces problèmes sont heureusement faciles à appliquer. Configurez les machines pour autoriser uniquement les messages en texte brut. Assurez-vous que vous utilisez uniquement des logiciels bien entretenus et appliquez automatiquement toutes les mises à jour.
Il existe des programmes appelés classeurs qui attachent normalement un exécutable à une image. Les logiciels malveillants trouvés dans les images sont généralement des RAT (outils d'administration à distance), qui sont des éléments de dérapage que certains dérapages utiliseront pour accéder à votre ordinateur. Normalement, cela n'est utilisé que sur les sites Web où des idiots excités parlent à ces dérapages, et les dérapages prétendent qu'ils sont une fille et leur disent de télécharger une image. Personnellement, je pense qu'il existe de bien meilleures façons de propager les choses, la plupart des antivirus devraient également détecter ces "liaisons" même si le virus est FUD (totalement non détecté).
Il existe un exemple de vulnérabilité décrite ici - exécution complète du code sur les systèmes Windows, si javascript a été activé => SVG SNAF .
Info:
Joshua Yabut, un autre chercheur qui a également analysé le code, a déclaré à Ars qu'il exploitait un soi-disant bug d'utilisation après libération qui nécessite l'activation de JavaScript sur l'ordinateur vulnérable. Yabut a poursuivi en disant que le code est "100% efficace pour l'exécution de code à distance sur les systèmes Windows." Le code d'exploitation, a ajouté le chercheur, ajuste l'emplacement de la mémoire de la charge utile en fonction de la version de Firefox exploitée. Les versions s'étendent de 41 à 50, la version 45 ESR étant la version utilisée par la dernière version du navigateur Tor. Les ajustements indiquent que les personnes qui ont développé l'attaque l'ont testée de manière approfondie pour s'assurer qu'elle fonctionnait sur plusieurs versions de Firefox. L'exploit effectue des appels directs à kernel32.dll, une partie centrale du système d'exploitation Windows. Source