Podgląd wydruku

Luka w formacie archiwów ".kz"

Wszelkie inne tematy związane z bezpieczeństwem komputerowym.
Odpowiedz
Awatar użytkownika
ichito
Redaktor
Redaktor
  • Posty: 2622

Post 03 lut 2012, 16:31

Format archiwów .kz to format rozwijany i zastrzeżony przez chińskiego producenta KuaiZip, producenta darmowego archiwizera o tej samej nazwie. To format dość nowy i jeszcze niezbyt popularny...możliwe też, że również niedopracowany. Wczoraj (2 luty) na stronie SecLists.org poinformowano, że odkryto niebezpieczną lukę w tym archiwum, która pozwala na takie spreparowanie pliku, że możliwe jest obejście lub wyłączenie działającego AV.
Do tej pory z autorami odkrycia skontaktowało się jedynie laboratorium Kaspersky'ego...wszystkie inne testowane AV są podatne.
The succesful exploitation of this flaw allows attackers to plant a malicious file on a server or to store unwanted
codes (DDOS tools, keyloguers, rootkit etc) on the intranet or any private network without being detected by the
antivirus solution.

The vulnerability concerns the incapacity of the scanner engine to inspect the code within the KuaiZip archive.
Consequently, there is no possibility for the antivirus to detect any malicious file or payload on any environment:
locally/client side, Mail gateway, web mail, cloud scan etc.

IMPACT AND LIMITATIONS:
As scanners engines do not support this new archive format, and as most antivirus are affected, the impact is a high.
As .kz format is currently only supported by KuaiZip archiver, and as most antivirus will detect the malicious known
code once extracted from the archive, therefore the risk of infection is limited.

Autorem zgłoszenia jest znany niektórym twórca blogu "Security Overflow" (tematyka HIPS/bloker/monitor) - kareldjag
Spoiler:

Do pobrania na stronie jest również test ze spreparowanym archiwum .kz
Spoiler:
Na górę
Awatar użytkownika
ananael
Amator
  • Posty: 196

Post 03 lut 2012, 18:21

Co za bzdury :wall:
"The vulnerability concerns the incapacity of the scanner engine to inspect the code within the KuaiZip archive."

Po prostu format jest nieobsługiwany przez antywirusy i zawartość nie jest skanowana. No i co z tego?
Żeby wykonać kod pliku zawartego w archiwum, takie archiwum trzeba wypakować. Jak plik jest wypakowany antywirus widzi go takim jaki jest i skanuje.

Znajda się dziesiątki takich formatów archiwów.
Na górę
Awatar użytkownika
ichito
Redaktor
Redaktor
  • Posty: 2622

Post 04 lut 2012, 17:14

Oczywiście, że ryzyko jest ograniczone ze względu na małą popularność tego formatu, ale trzeba zwrócić uwagę na jeden aspekt - zarówno programy AV, jak i inne programy...zwłaszcza darmowe, jak ten archiwizer...stają się coraz bardziej popularne i granice państw czy regionów (Azja, Europa, Ameryka, itd.) przestają być jakimikolwiek ograniczeniami. Użytkownicy na całym świecie używają podobnych lub nawet tych samych programów z taką samą popularnością i ochotą...podobnie granice przekraczają infekcje, a mogę to robić równie szybko lub nawet szybciej.
To, że ktoś zwraca uwagę na brak obsługi jeszcze niezbyt popularnego formatu plików przez znanych producentów AV nie jest tylko mało istotną "bzdurką", ale ukazaniem problemu, który może kiedyś zaowocować czymś mało przewidywalnym, a groźnym.
Nie sądzę, żeby Kareldjag...niepodważalny od lat autorytet w dziedzinie monitorów ochrony proaktywnej, systemu, jego mechanizmów i ochrony, człowiek biorący aktywnie udział w rozwoju np. System Safety Monitor, NeovaGuard, programów od Sysinternals...pisał to, nie zdając sobie sprawy z tego, co robi :)
Poniżej link do innego artykułu, w którym problem został kiedyś już szerzej opisany
http://blog.zoller.lu/2009/04/case-for- ... sions.html
Na górę
Awatar użytkownika
ananael
Amator
  • Posty: 196

Post 05 lut 2012, 12:42

Z blogu Zollera:
Misconception 3: This is not a security issue because if the gateway might be bypassed the the client-side AV will catch the malware on extraction of the archive.
This argument makes the dangerous presumption that all scanners actually detect that particular malware (which is NOT necessarily the case, take a look at the virustotal.com stats)

Jeśli plik przed spakowaniem jest przez antywirus u klienta wykrywany, to jest całkowicie obojętne czy przeleci przez serwer jako archiwum. Na maszynie klienta plik będzie wykryty podczas wypakowywania. To co może zyskać atakujący to pominięcie skanera na bramce.

Popularne formaty są przez antywirusy wspierane, więc atak z użyciem mało popularnego formatu może się powieść i ma sens wtedy i tylko wtedy gdy jednocześnie zajdą:
1) plik po rozpakowaniu nie jest wykrywany przez AV u ofiary
2) plik jest wykrywany przez AV na bramce
3) ofiara posiada oprogramowanie pozwalające na wypakowanie pliku
4) ofiara nie wyśle rozpakowanego pliku na jakiś multiskaner

Wydaje się, że troszeczkę przekombinowane..
No i tutaj jest właśnie "misconception" pana Zollera. Taki atak jest możliwy, ale prawdziwym problemem jest tutaj nie brak obsługi jakiegoś formatu na bramce, ale brak detekcji u klienta.


Wracając do konkretnego przykładu .kz.
As scanners engines do not support this new archive format, and as most antivirus are affected, the impact is a high.
As .kz format is currently only supported by KuaiZip archiver, and as most antivirus will detect the malicious known code once extracted from the archive, therefore the risk of infection is limited.

ichito pisze:To format dość nowy i jeszcze niezbyt popularny...możliwe też, że również niedopracowany. Wczoraj (2 luty) na stronie SecLists.org poinformowano, że odkryto niebezpieczną lukę w tym archiwum, która pozwala na takie spreparowanie pliku, że możliwe jest obejście lub wyłączenie działającego AV.


Obawiam się, że to już Twoja własna twórczość ;) Nie ma takiej luki.
Na górę
Odpowiedz

Wróć do Inne

Kto jest online

Użytkownicy przeglądający ten temat: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość