Seguridad de las herramientas de descompresión

4

¿Qué tan seguro es descomprimir archivos no confiables con unrar-free? ¿Con descomprimir? Estoy usando Debian Jessie. ¿Qué pasos se pueden tomar para minimizar la amenaza al extraer el contenido del archivo?

    
pregunta Aryeh Leib Taurog 10.11.2015 - 12:23
fuente

3 respuestas

9
  

¿Qué tan seguro es descomprimir archivos que no son de confianza?

Solo mirando el CVE's para descomprimir Encontrará varias ejecuciones de código posibles, modificando los permisos de archivos existentes, sobrescribiendo archivos arbitrarios fuera del directorio actual ...

La lista CVE para unrar es más corta pero incluye también ejecución de código.

  

¿Qué pasos se pueden tomar para minimizar la amenaza al extraer el contenido del archivo?

Cualquier tipo de separación de privilegios y espacios aislados, es decir, máquinas virtuales, entornos de chroot o contenedores, ... Y, por supuesto, tienen los últimos parches.

En realidad, no hay nada especial acerca de descomprimir y descomprimir, debes tener el mismo cuidado con cualquier tipo de archivos potencialmente maliciosos (que incluyen al menos todo lo que tenga un origen sospechoso).

    
respondido por el Steffen Ullrich 10.11.2015 - 18:19
fuente
1

La carga útil maliciosa contenida en un archivo debe ejecutarse para que se pueda utilizar. El simple hecho de depositar un archivo en un sistema de archivos no presenta ningún riesgo, siempre que:

  • no se inicia ninguna acción automáticamente una vez que se descubre un archivo de un tipo determinado. Esto se hace generalmente mediante IU gráficas que quieren ser inteligentes y, por ejemplo, generar miniaturas
  • el archivo zip en sí no está diseñado de manera que, por ejemplo, cree directorios recursivos hasta que se quede sin inodos (u otros recursos)

Si tiene dudas, use una máquina virtual desechable sin una GUI, que obtendrá una instantánea después de la instalación y la ejecutará desde esa instantánea para operaciones delicadas.

    
respondido por el WoJ 10.11.2015 - 12:49
fuente
1

Sugiero mirar el tamaño y el contenido de los archivos. En algún momento de junio de 2015, mi lugar de trabajo donde trabajo, ya que fue golpeado por cryptoware. Me encargaron descubrir de dónde venía y qué efectos tuvo.

Después de unas horas, lo localicé en un solo archivo adjunto zip en un correo electrónico. Fue un poco menos de 300 bytes. Al hacer doble clic en el correo electrónico, se inyecta un código en el programa zip de Windows integrado que luego descarga el archivo cryptoware y lo instala desde el directorio temporal de los usuarios. Esta era una máquina de Windows XP. Quité los privilegios de ejecución de las carpetas temporales y eso solucionó el problema. Hace unos días recibimos otro regalo en el correo, pero esta vez se produjo un error ya que no se pudo ejecutar.

Tendría que decir que la mayoría, si no todos los cryptoware y otros pequeños desagradables, están dirigidos exclusivamente a Windows. Si estás usando Linux, probablemente estés bien. Solo aísla el archivo primero. Estoy de acuerdo con Steffen Ullrich en ese punto.

En una nota lateral, no cedimos ante el terrorismo. Trajimos los archivos afectados de copia de seguridad. Siempre mantenga un buen conjunto de copias de seguridad.

    
respondido por el Kayot 22.12.2015 - 18:43
fuente

Lea otras preguntas en las etiquetas