¿Qué aplicaciones están en riesgo de los "Nombres de Unicode al revés" y cuáles son las mitigaciones?

Navega tus respuestas
5

Existe una vulnerabilidad en la que algunas aplicaciones (como explorer.exe) responden a los caracteres Unicode que cambian la dirección del texto (de derecha a izquierda y de izquierda a derecha). Esto se puede usar para enmascarar un archivo EXE en uno que se parece a un documento de texto.

Más información sobre este tema ...

¿Qué aplicaciones son vulnerables a esta amenaza y cuáles son las mitigaciones / contramedidas?

Actualizar

Por ejemplo:

  • Mitigue el Explorador de Windows con el producto XXX de AntiVirus
  • Filtrar archivos adjuntos de correo electrónico utilizando YYY
  • Limite la exposición de Mac con el producto iZ

Mi experiencia personal sugiere que la mayoría de los productos necesitan actualización o configuración para evitar que los usuarios finales se aprovechen de ellos.

Tal vez llamar a 'Backwards Unicode names' una vulnerabilidad es incorrecta de mi parte. Sin embargo, considero que cualquier aplicación que no proporcione los controles para mitigar el uso hostil es una vulnerabilidad. Quizás esta seguridad esté regulada a una clase de productos como filtros de correo electrónico o productos AV.

Mi intención es identificar los productos necesarios para evitar que esto sea explotado y mantener el uso razonable y apropiado de B.U.N.'s.

    
pregunta random65537 13.05.2011 - 18:10
fuente

2 respuestas

4

Duda si podemos clasificar esto como una vulnerabilidad. Este es un caso en el que el soporte de una característica legítima no proporciona protección de uso en forma adecuada. Hay algunos idiomas donde la dirección del texto es de derecha a izquierda. El consorcio Unicode tenía intenciones sinceras de respaldar dichos idiomas. Por cierto, el tema en sí no es nuevo. Sobre la explotación de Unicode, Chris Weber publicó dos artículos:

Diría que debería llamar la atención sobre cualquier aplicación de escritorio moderna que admita Unicode; existe una alta posibilidad de que esté sujeta a tales ataques. Yendo más allá, quiero admitir que la implementación incorrecta o falsa de Unicode puede llevar a cualquier tipo de error a partir de la suplantación visual hasta el desbordamiento del búfer.

Unicode recomienda que se lea el siguiente documento: enlace .

    
respondido por el anonymous 13.05.2011 - 19:02
fuente
2

La raíz del problema es que el sistema operativo interpretará un archivo como un archivo ejecutable pero no muestra ese hecho. En este momento, el usuario debe mirar el nombre del archivo y pensar algo como "mmh, esto termina con '.exe', por lo que Windows intentará ejecutar ese archivo". ¡El Windows en cuestión está allí mismo ! Así que este es el caso de un usuario que intenta superar su propia computadora, y falla en eso. Esto no se limita a Unicode: muy pocos usuarios saben que '.pif', '.com', '.scr' ... también activan la ejecución.

La forma "limpia" sería hacer que la aplicación muestre el nombre con una indicación visual explícita e inequívoca de lo que ocurrirá si el usuario decide "abrir" el archivo; sin embargo, un sistema Windows suficientemente reciente ya lo hará (le advertirá que el archivo es de Internet en general) y la mayoría de los usuarios simplemente harán clic en "haga lo que yo digo, ¡estúpido!" botón - y ni siquiera recuerdo que apareció tal advertencia.

En pocas palabras, Unicode no es realmente una vulnerabilidad aquí: es solo una característica que se puede usar, entre muchas otras características, para hacer que un tipo de archivo quede algo oculto. Pero el verdadero problema de seguridad no está ahí; es en usuarios que insisten en ejecutar archivos ejecutables no confiables. Las contramedidas eficientes a menudo implican el filtrado de datos en sentido ascendente, para que el usuario nunca vea los archivos ofensivos. Muchos servidores de correo eliminan automáticamente los archivos ejecutables de los correos electrónicos (pero los usuarios, y los creadores de virus, pronto aprenden soluciones alternativas como el almacenamiento de archivos ejecutables en archivos Zip cifrados).

    
respondido por el Thomas Pornin 17.05.2011 - 17:43
fuente

Lea otras preguntas en las etiquetas

¿Explota inevitablemente el "costo de hacer negocios en Internet"? ¿Se pueden robar las cookies sin el indicador de seguridad, incluso cuando solo se accede a través de HTTPS?