¿Por qué los programas de correo electrónico bloquean los archivos xml?

Navega tus respuestas
62

Un colega me envió un archivo .xml más temprano hoy, que fue bloqueado por Outlook. Mientras discutíamos la solución (póngala en un .zip), nos preguntamos por qué los archivos .xml están bloqueados.

Mi colega reconoce que es porque el navegador es el procesador predeterminado para archivos .xml y posiblemente hay un vector de ataque al pasar un archivo html con una extensión xml, pero lo intenté en Firefox y me muestran el árbol de documentos como un simple archivo xml.

¿Alguien tiene algún ejemplo en el que un archivo xml pueda agregarse como un archivo adjunto para hacer algo malicioso (o al menos, más que cualquier otro archivo adjunto aleatorio que no esté bloqueado)?

    
pregunta KidneyChris 26.10.2015 - 13:31
fuente

3 respuestas

72

Los posibles ataques basados en XML son:

  1. Bomba XML ( ataque de Billion LOLs ). Este es un archivo XML que utiliza una costumbre recursiva Definición de tipo de entidad para atacar a un analizador XML vulnerable. La bomba XML tiene un tamaño muy pequeño en el disco, pero se expande hasta un tamaño enorme cuando se analiza, agotando potencialmente la memoria disponible en el dispositivo víctima.
  2. Tipo de entidad externa que puede no devolver . En este caso, el XML documento define un tipo de entidad externa en una URL que no responde o responde lentamente. Esto podría causar un DoS en el dispositivo de las víctimas.
  3. Tipo de entidad externa que expone información confidencial. Esto es similar al punto 2 (y se explica en el mismo enlace), pero en este caso el tipo de entidad externa intenta exponer archivos locales confidenciales (por ejemplo, file:///etc/passwd )

El éxito de cualquiera de estos ataques depende del analizador XML instalado en la máquina local. Creo que las aplicaciones como las nuevas versiones de IE, Firefox, etc. protegen contra estas, pero las versiones más antiguas o algún software personalizado pueden ser vulnerables.

    
respondido por el Mike Goodwin 26.10.2015 - 14:14
fuente
15

Un atacante puede usar un archivo XML por razones infames y, como usted preguntó si algo como eso ocurrió en el pasado, ha habido ejemplos de dichos archivos adjuntos XML maliciosos en el pasado.

De hecho, el ataque que voy a mencionar es reciente y se realizó a fines de febrero de 2015, donde las empresas reciben un correo no deseado con un archivo XML malicioso adjunto:

EstearchivoadjuntoesundocumentoXMLdeMicrosoftWord;MicrosofttieneuncontroladorespecialparaarchivosXMLqueelegirálaaplicaciónparamanejarlosenfuncióndeladeteccióndeloscontenidos,comosedescribeen aquí , así que hacer doble clic en él puede hacer que MS Word se ejecute y así cargar las macros maliciosas incrustadas en él. . Aquí hay un diagrama que muestra cómo se almacenó el documento malicioso:

source

    
respondido por el user45139 26.10.2015 - 13:46
fuente
5

Si bloquean HTML, entonces también tiene sentido bloquear XML porque puede transformarse usando XSLT en XHTML (la transformación es compatible con todos los navegadores recientes que pasan la prueba Acid3) que es bastante (especialmente en lo que respecta a la seguridad) como normal HTML.

    
respondido por el phk 26.10.2015 - 17:22
fuente

Lea otras preguntas en las etiquetas

¿Intento que un sitio basado en Django use solo HTTPS, no estoy seguro si es seguro? ¿Eliminar un GUI de un servidor lo hace menos vulnerable?