Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Format archiwów .kzto format rozwijany i zastrzeżony przez chińskiego producenta KuaiZip , producenta darmowego archiwizera o tej samej nazwie. To format dość nowy i jeszcze niezbyt popularny...możliwe też, że również niedopracowany. Wczoraj (2 luty) na stronie SecLists.org poinformowano, że odkryto niebezpieczną lukę w tym archiwum, która pozwala na takie spreparowanie pliku, że możliwe jest obejście lub wyłączenie działającego AV.
Do tej pory z autorami odkrycia skontaktowało się jedynie laboratorium Kaspersky''ego...wszystkie inne testowane AV są podatne.
Cytat: The succesful exploitation of this flaw allows attackers to plant a malicious file on a server or to store unwanted
codes (DDOS tools, keyloguers, rootkit etc) on the intranet or any private network without being detected by the
antivirus solution.
The vulnerability concerns the incapacity of the scanner engine to inspect the code within the KuaiZip archive.
Consequently, there is no possibility for the antivirus to detect any malicious file or payload on any environment:
locally/client side, Mail gateway, web mail, cloud scan etc.
IMPACT AND LIMITATIONS:
As scanners engines do not support this new archive format, and as most antivirus are affected, the impact is a high.
As .kz format is currently only supported by KuaiZip archiver, and as most antivirus will detect the malicious known
code once extracted from the archive, therefore the risk of infection is limited.
Autorem zgłoszenia jest znany niektórym twórca blogu "Security Overflow"(tematyka HIPS/bloker/monitor) - kareldjag
[Aby zobaczyć linki, zarejestruj się tutaj]
Do pobrania na stronie jest również test ze spreparowanym archiwum .kz
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 250
Liczba wątków: 10
Dołączył: 23.04.2011
Reputacja:
7
Co za bzdury 
"The vulnerability concerns the incapacity of the scanner engine to inspect the code within the KuaiZip archive."
Po prostu format jest nieobsługiwany przez antywirusy i zawartość nie jest skanowana. No i co z tego?
Żeby wykonaćkod pliku zawartego w archiwum, takie archiwum trzeba wypakować. Jak plik jest wypakowany antywirus widzi go takim jaki jest i skanuje.
Znajda się dziesiątki takich formatów archiwów.
ESET NOD32 5 + PC Tools Firewall Plus + Truecrypt
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Oczywiście, że ryzyko jest ograniczone ze względu na małą popularność tego formatu, ale trzeba zwrócić uwagę na jeden aspekt - zarówno programy AV, jak i inne programy...zwłaszcza darmowe, jak ten archiwizer...stają się coraz bardziej popularne i granice państw czy regionów (Azja, Europa, Ameryka, itd.) przestają być jakimikolwiek ograniczeniami. Użytkownicy na całym świecie używają podobnych lub nawet tych samych programów z taką samą popularnością i ochotą...podobnie granice przekraczają infekcje, a mogę to robić równie szybko lub nawet szybciej.
To, że ktoś zwraca uwagę na brak obsługi jeszcze niezbyt popularnego formatu plików przez znanych producentów AV nie jest tylko mało istotną "bzdurką", ale ukazaniem problemu, który może kiedyś zaowocować czymś mało przewidywalnym, a groźnym.
Nie sądzę, żeby Kareldjag...niepodważalny od lat autorytet w dziedzinie monitorów ochrony proaktywnej, systemu, jego mechanizmów i ochrony, człowiek biorący aktywnie udział w rozwoju np. System Safety Monitor, NeovaGuard, programów od Sysinternals...pisał to, nie zdając sobie sprawy z tego, co robi 
Poniżej link do innego artykułu, w którym problem został kiedyś już szerzej opisany
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 250
Liczba wątków: 10
Dołączył: 23.04.2011
Reputacja:
7
Z blogu Zollera:
Misconception 3: This is not a security issue because if the gateway might be bypassed the the client-side AV will catch the malware on extraction of the archive.
This argument makes the dangerous presumption that all scanners actually detect that particular malware (which is NOT necessarily the case, take a look at the virustotal.com stats)
Jeśli plik przed spakowaniem jest przez antywirus u klienta wykrywany, to jest całkowicie obojętne czy przeleci przez serwer jako archiwum. Na maszynie klienta plik będzie wykryty podczas wypakowywania. To co może zyskać atakujący to pominięcie skanera na bramce.
Popularne formaty są przez antywirusy wspierane, więc atak z użyciem mało popularnego formatu może się powieść i ma senswtedy i tylko wtedy gdy jednocześniezajdą:
1) plik po rozpakowaniu nie jest wykrywany przez AV u ofiary
2) plik jest wykrywany przez AV na bramce
3) ofiara posiada oprogramowanie pozwalające na wypakowanie pliku
4) ofiara nie wyśle rozpakowanego pliku na jakiś multiskaner
Wydaje się, że troszeczkę przekombinowane..
No i tutaj jest właśnie "misconception" pana Zollera. Taki atak jest możliwy, ale prawdziwym problemem jest tutaj nie brak obsługi jakiegoś formatu na bramce, ale brak detekcji u klienta.
Wracając do konkretnego przykładu .kz.
As scanners engines do not support this new archive format, and as most antivirus are affected, the impact is a high.
As .kz format is currently only supported by KuaiZip archiver, and as most antivirus will detect the malicious known code once extracted from the archive, therefore the risk of infection is limited.
ichito napisał(a):To format dość nowy i jeszcze niezbyt popularny...możliwe też, że również niedopracowany. Wczoraj (2 luty) na stronie SecLists.org poinformowano, że odkryto niebezpieczną lukę w tym archiwum, która pozwala na takie spreparowanie pliku, że możliwe jest obejście lub wyłączenie działającego AV.
Obawiam się, że to już Twoja własna twórczość  Nie ma takiej luki.
ESET NOD32 5 + PC Tools Firewall Plus + Truecrypt
|
