Exchange 2013 bloquea archivos adjuntos de txt, ¿existen razones de seguridad?

Navega tus respuestas
5

Mi administrador de Exchange está configurando 2013, y está configurado para bloquear archivos adjuntos txt específicamente (y otros).

He intentado buscar los riesgos asociados con los archivos adjuntos de txt pero no pude encontrar ninguno. ¿Hay algún riesgo que deba conocer acerca de los archivos adjuntos de txt?

EDIT

El administrador no configuró las reglas para el bloqueo, pero encontró que esta era la regla predeterminada para Exchange 2013 durante una migración desde 2010. Estaba causando problemas en nuestro entorno, por lo que me pidió que aprobara la inclusión en la lista blanca de .txt. archivos.

    
pregunta schroeder 10.07.2014 - 17:01
fuente

4 respuestas

8

Llevo 18 años dando soporte y administrando el correo electrónico, y nunca tuve una razón válida para bloquear los archivos adjuntos de texto. He aquí algunos problemas en los que puedo pensar, que no son exclusivos de los adjuntos de TXT solos, sino que se refieren a los adjuntos en general

Análisis Unicode

Los dos únicos problemas que he encontrado son este error de Unicode pero es teóricamente posible que otras aplicaciones tengan problemas al analizar y / o mostrar Unicode.

Tipo MIME vs extensión de archivo

Los adjuntos en SMTP incluyen no solo una extensión de archivo .txt sino también un tipo MIME y una codificación correspondiente (como se mencionó anteriormente). Si alguno de estos "metadatos" no coincide (vbscript con un mimo de texto, o viceversa) es posible obtener resultados inesperados de un cliente.

Los problemas pueden incluir

  • Los iconos de archivos adjuntos aparecen como un archivo TXT en el cliente, pero en realidad son un EXE
  • Los clientes (o servicios) manejan incorrectamente el archivo adjunto, potencialmente ejecutándolo
  • Una variación de lo anterior que hace que el cliente (Outlook / Thunderbird, etc.) descargue una imagen o verifique una firma DKIM, perdiendo el anonimato del cliente.

Perspectiva

Dado que el cliente más común en un entorno de Exchange 2013 es Outlook, me centraré en eso, aunque la mayoría de los problemas aquí se han examinado a fondo y ya no son un problema (siempre que esté en una compilación actual y parcheada).

Riesgo del panel de vista previa de Outlook

El panel de vista previa de Outlook usa una versión especial y bloqueada de IE. Dado que IE puede ejecutar datos de "texto" como si fuera HTML / XSS o cualquier otro contenido activo, esto podría representar un riesgo para la seguridad. (Las vulnerabilidades de Outlook como el panel de vista previa ha ocurrido en el pasado)

WebReady Exchange Server Risk

Un adjunto similar al analizador HTML se instala en el propio servidor de Exchange denominado WebReady , y convierte los archivos adjuntos en HTML para los clientes de Outlook Web Access. Esto ya ha sido un problema en el pasado, causando que las vulnerabilidades y el código ejecutable se ejecuten en el contexto del propio Exchange Server. Lea más sobre esta función de seguridad aquí.

Summary

En mi opinión, antes de que su administrador bloquee los archivos adjuntos de TXT, deberían considerar deshabilitar Webready y dirigirse a la categoría más baja. primero:

  • Autenticación mejorada para usuarios finales (tarjeta inteligente, etc.)
  • AV / AS en el servidor y puerta de enlace
  • Seguridad SMTP, incluidos DMARC, DKIM, SPF y TLS oportunista / seguro, siempre que sea posible
  • Análisis de contenido
  • Cifrado a petición del portal, SMIME o PGP

Si están deshabilitando los archivos adjuntos como una forma de gestión de la información, para evitar la divulgación (o la responsabilidad de recibir) los datos, deben considerar controles alternativos.

Si están deshabilitando los archivos adjuntos de TXT por razones de seguridad / encriptación y quieren que todos los datos estén encriptados, debe saber que algunos programas de encriptación envían la carga útil encriptada o pública a los clientes que usan datos de TXT. A la inversa, prohibir esta actividad es fácil ya que hay una cadena en el archivo que se puede analizar.

Solo para aclarar, al "bloquear" se refiere a clasificarlo como ¿Adjuntos de nivel 1 o nivel 2 en Outlook?

    
respondido por el random65537 10.07.2014 - 17:18
fuente
2

Además de la muy cuidadosa respuesta de makerofthings7, otra razón podría ser evitar ataques de suplantación de identidad (phishing) que transmiten un contenido peligroso en el archivo adjunto TXT.

Por ejemplo, si envía un archivo llamado ILOVEYOU.EXE.TXT, fírmelo como "abuela", e indique al usuario que guarde y cambie el nombre del archivo: algún porcentaje de los usuarios estará encantado de seguir esas instrucciones para ver qué "abuela "los envió.

    
respondido por el Jeff-Inventor ChromeOS 27.07.2014 - 11:24
fuente
1

No hay riesgos específicos asociados con los adjuntos de texto sin formato, según lo define la RFC.

Ref: enlace

Los sistemas operativos como Windows asocian la extensión "txt" del nombre de archivo al tipo MIME de texto / sin formato y tienen una asociación ejecutable al hacer clic / abrir con algún programa definido (como bloc de notas / wordpad , etc).

De forma predeterminada, en la mayoría de los clientes de sistemas operativos (Windows y muchos otros), este programa de asociación no tiene vulnerabilidades de seguridad publicadas, lo que da como resultado la apertura de un archivo de texto sin formato. De hecho, si lo hicieran, ningún mensaje de correo electrónico podría abrirse / previsualizarse por temor a que la simple representación del texto ejecutaría software malicioso.

Evaluación: el administrador ha cometido un error al bloquear los archivos con una extensión TXT.

Análisis adicional: las extensiones de archivo son inherentemente sin significado .

Un virus ejecutable del sistema operativo, por ejemplo, puede recibir CUALQUIER nombre / extensión de archivo. Cuando se haga clic o se abra, el programa de lector asociado con la extensión procesará el contenido del archivo.

De hecho, es una práctica común en los entornos corporativos eludir las reglas de bloqueo de la extensión de archivo de Exchange simplemente cambiando el nombre de los archivos con una extensión diferente o simplemente comprimiendo el contenido (dándole al archivo una extensión ".zip") para que el lector pueda recibir it.

Por ejemplo, no es raro que los desarrolladores intercambien archivos / fragmentos de código fuente de idioma por correo electrónico. Dichos archivos son del tipo MIME "sin formato / texto", sin embargo, muchos administradores de Exchange bloquearán los archivos con nombre ".c" o ".cpp", y creen incorrectamente que los archivos de origen del idioma son de alguna manera inherentemente ejecutables.

    
respondido por el Darrell Teague 28.07.2014 - 17:12
fuente
0

También es posible que todos los archivos adjuntos estén bloqueados, independientemente de la extensión. O bien, puede haber una política organizacional que permita solo ciertos tipos de archivos, tal vez solo se haya aprobado .pdf, por lo que .txt está bloqueado explícitamente.

Si bien no es necesariamente un problema de seguridad, existe la posibilidad de que alguien pueda enviar muchos archivos .txt de gran tamaño que consuman una gran cantidad de espacio de almacenamiento. Del mismo modo, abrir un archivo .txt grande puede causar problemas de recursos del sistema. Por ejemplo, abrir un archivo .txt que tiene 250 MB de datos en una sola línea causa problemas en Notepad.exe ...

Pero estos pueden ser ejemplos / justificaciones oscuros.

    
respondido por el Nick 27.07.2014 - 20:19
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede el uso de varias computadoras portátiles mejorar la seguridad? ¿Por qué descifrar WEP o WPA / WPA2 PSK cuando se puede detectar mediante la captura en modo monitor?