web-dev-qa-db-ja.com

信頼できないソースからアーカイブデータをダウンロードするときに、システムが危険にさらされる可能性があるのはどの時点ですか?

信頼できない可能性があるソースからアーカイブデータをダウンロードした場合、その時点でシステムに損害を与える可能性があります。

  1. 最初にアーカイブされたデータをダウンロードして保存します(まだパックされています)
  2. アーカイブされたデータの解凍
  3. 解凍されたアーカイブからファイルを実行する

ポイント3では明らかに危険にさらされますが、1〜2はどうでしょうか。

malwarefile-systemzip
20
T A

1は、ファイルがどこかに保存されていて、何かでそれを開こうとする試みが行われていない限り、危険をもたらすものではありません。テキストエディタを使用してそれを表示する場合、エクスプロイトの小さな危険がすでにあります。

2の場合、脆弱性や悪用があり危険です。そのような可能なシナリオのいくつかの例:

  • .tar.gzアーカイブのシンボリックリンク(symlink)の脆弱性によって引き起こされる任意のファイルの書き込み

  • CVE-2018-20250は、una​​cev2.dllの絶対パストラバーサルの脆弱性であり、DLLファイルは、2005年以降更新されていないACEアーカイブを解析するためにWinRARによって使用されます。特別に細工されたACEアーカイブが悪用される可能性があります。ファイルを任意のパスに抽出し、実際の宛先フォルダーをバイパスするこの脆弱性この例では、CPRはWindowsスタートアップフォルダーに悪意のあるファイルを抽出することができます。

  • CVE-2018-20252およびCVE-2018-20253は、巧妙に細工されたアーカイブ形式の解析中に範囲外の書き込みの脆弱性です。これらのCVEの悪用に成功すると、任意のコードが実行される可能性があります。

  • 攻撃者がWebサイトの一部などのリモートで実行できるファイルや、コンピュータやユーザーがとにかく実行する可能性が高いファイル(人気のあるアプリケーションやシステムファイルなど)を標的にするために使用する可能性のあるZipスリップ。

  • Helmチャートアーカイブファイルの解凍パストラバーサルの脆弱性。

  • CVE-2015-5663-5.30ベータ5より前のWinRARのファイル実行機能により、ローカルユーザーは、ユーザーが選択した拡張子のないファイル名に類似した名前のトロイの木馬ファイルを介して特権を取得できます。

  • CVE-2005-3262により、リモートの攻撃者はUUE/XXEファイルのフォーマット文字列指定子を介して任意のコードを実行できますが、WinRARが無効なファイル名に関連する診断エラーを表示すると、適切に処理されません

そのような脆弱性を持つ多くの例やデータベースがまだあり、それらのほとんどでさえ、ソフトウェアの新しいバージョンで修正されていて、リスクはまだ存在しています。

したがって、[2]は危険であり、注意して処理する必要があります。

24
Overmind

理論的には、これらすべての場所が悪用される可能性があります。利用可能な特定のエクスプロイトについては説明しません。これらは、アーカイブ形式とテクノロジーの変化によって常に変化するためです。

最初にアーカイブされたデータをダウンロードして保存します(まだパックされています)

可能性は低いですが、ダウンロードマネージャー/ Webブラウザーが何らかのエクスプロイトを持っている可能性があります。ソースが信頼されていないため、サーバーはダウンロードプログラムの実装の悪用または使用しているファイル転送プロトコルの弱点を利用してダウンロードプログラムを攻撃しようとする可能性があります。これらのエクスプロイトはまれですが、前代未聞ではありません。ただし、基本的に、ソフトウェアが完全に悪用可能であることが確実でない限り、悪意のあるサーバーとのネットワーク接続が攻撃につながる可能性があります。

これは、ダウンロードする場所とネットワークスタックに必要な最小限の権限とアクセス権のみでダウンロードソフトウェアをサンドボックス化することで、多少軽減できます。これは、OSの許可モデルやサンドボックスソフトウェアにもエクスプロイトがないと想定して、この弱点をほとんど緩和します。

アーカイブされたデータの解凍

有害なアーカイブファイルを使用して、アーカイブ形式または解凍ソフトウェアの弱点を悪用することにより、システム上で任意のコードを実行することを含む、長年にわたる数多くの攻撃があります。これらはおそらく上記の弱点よりも一般的です。

主な保護は、抽出プログラムに最小限のアクセス許可を与えることを確認し、攻撃に成功した場合に最小限のダメージを与えることができるようにサンドボックス化することです。上記の警告が適用されます。

解凍されたアーカイブからファイルを実行する

これは明らかに非常に危険であり、実行中のソフトウェアや悪意のあるソフトウェアと同じ問題が適用されます。明示的に実行すると、ソフトウェアが比較的簡単に多くのサンドボックスと権限システムの保護を破るので、すべての賭けが無効になります。強化されたVM=でソフトウェアを安全に実行することはできますが、エアギャップマシンを使用してプログラムを実行しないと完全に保護されないため、プログラムが破壊されます。

TLDR

これらのステップはすべてかなり危険ですが、連続する各ステップはおそらく最後のステップよりも危険です。

9
Vality