פורסם במקור ב-17 בפברואר 2014.
קבצי וידאו אינם נחשבים בדרך כלל כסוגי קבצים שעלולים להיות זדוניים או נגועים, אך ייתכן שתוכנות זדוניות יוטמעו או יוסוותו כקובץ וידאו . עקב תפיסה מוטעית נפוצה זו, קבצי אודיו ווידאו הם וקטורי איום מסקרנים עבור כותבי תוכנות זדוניות.
למה הדאגה לגבי קבצי וידאו?
- Media נגנים הם תוכנות הנמצאות בשימוש תכוף, משתמשים נוטים להשתמש בהם למשך זמן ממושך, להשאיר אותם פתוחים במהלך משימות אחרות, ולעתים קרובות להחליף בין זרמי מדיה.
- פגיעויות רבות נמצאות בנגני מדיה. NIST [1] מציג יותר מ-1,200 פגיעויות בין השנים 2000 ל-2014 [2] . בתחילת 2020, NIST תיעד פגיעות חדשה בדרגת חומרה גבוהה, CVE-2020-0002, באנדרואיד. Media מִסגֶרֶת.
- תוכן וידאו אטרקטיבי ואינטרנט מהיר מובילים משתמשים להוריד ולשתף מבלי לשים לב, וכיוון שקבצים אלה נתפסים כלא מזיקים יחסית, סביר להניח שמשתמשים ינגנו קבצים שניתנו להם.
- פורמטי הקבצים המעורבים הם זרמים בינאריים ונוטים להיות מורכבים למדי. נדרש ניתוח רב כדי לטפל בהם, וחישובי השמעה יכולים בקלות לגרום לבאגים שלמים.
- הקובץ בדרך כלל גדול; סביר להניח שמשתמשים ידלגו על פתרונות סריקה כדי להימנע מפגיעה בביצועים.
- הם נתפסים כלא מזיקים יחסית - סביר להניח שמשתמשים ינגנו קבצים שניתנו להם.
- יש מגוון רחב של נגני אודיו שונים ומגוון רחב של קודקים ותוספים של קבצי אודיו, כולם נכתבו על ידי אנשים שאינם ממוקדים באבטחה.
- משתמשים מורידים סרטונים ממקורות רבים שאינם אמינים, והסרטונים רצים עם הרשאות ועדיפות גבוהות למדי. לדוגמה, ב-Windows Vista, מופע של Internet Explorer בעל הרשאות נמוכות יכול להפעיל תוכן ב-Windows בעל הרשאות גבוהות יותר. Media נַגָן.
- סרטונים מופעלים לעתים קרובות ללא אישור מפורש של המשתמש (כלומר, מוטמעים בדף אינטרנט) [3] .
וקטורי פגיעות אופייניים
ערפול נגן המדיה על ידי קובץ וידאו שעבר שינוי
Fuzzing היא שיטה כללית לאלץ תוכנית להתנהג באופן בלתי צפוי על ידי אספקת נתונים לא חוקיים, בלתי צפויים או אקראיים לקלטים.
Fuzzing נועד למצוא באגים עמוקים ומשמש מפתחים כדי להבטיח את חוסנו של הקוד, אולם, הכלי הטוב ביותר של מפתח יכול לשמש גם כדי לנצל את המשתמש. עבור נגני מדיה, אשר כביכול "פורמט קפדני", קובץ וידאו אמיתי פגום יכול לחשוף באגים רבים, רובם נגרמים על ידי הסרת הפניות של מצביעי null. התוצאה היא גישה לא מתאימה לזיכרון, אשר מציעה את האפשרות לכתוב לזיכרון משהו שלא נועד להיכתב [4] . למרבה המזל, נגני מדיה fuzzing דורשים ידע מעמיק בפורמט הקובץ, אחרת הקובץ הפגום פשוט יתעלם על ידי הנגן.
הטמעת היפר-קישורים בקובץ וידאו
שיטה ישירה יותר מתקבלת על ידי הטמעת כתובת URL בקבצי מדיה מודרניים.
לדוגמה, Microsoft Advanced System Format (ASF) מאפשר ביצוע פקודות סקריפט פשוטות. במקרה זה, "URLANDEXIT" ממוקם בכתובת ספציפית ואחרי כל כתובת URL. כאשר קוד זה מבוצע, המשתמש מופנה להוריד קובץ הרצה, שלעתים קרובות מוסווה כקודק ומבקש מהמשתמש להוריד כדי להפעיל את המדיה.
MetaDefender Cloud , OPSWAT כלי הסריקה המרובה נגד תוכנות זדוניות של [שם משתמש], כולל דוגמה לקובץ כזה metadefender opswat .
שם האיום הוא "GetCodec". בדוגמה זו, נגן המדיה הופנה לקישור להורדת סוס טרויאני. ראה את הסוס הטרויאני הסרוק כאן .
דוגמאות לניצול של סוגי קבצים
להלן טבלה המפרטת את פורמטי קבצי המדיה הפופולריים אשר נוצלו על ידי ניתוב המשתמש לאתרים זדוניים או ביצוע קוד שרירותי מרחוק במערכות של משתמשי היעד.
| פורמט קובץ | גילוי | תֵאוּר |
| חלונות .wma/.wmv | הורדה-UA.b | מנצל פגם בניהול זכויות דיגיטליות |
| רִיאָל Media .rmvb | W32/Realor.worm | מדביק את ריאל Media קבצים להטמעת קישור לאתרים זדוניים |
| רִיאָל Media .rm/.rmvb | מעשה ידי אדם | מפעיל דפי אינטרנט זדוניים ללא בקשה |
| זמן קוויק.mov | מעשה ידי אדם | משיק קישורים מוטמעים לאתרים פורנוגרפיים |
| קובץ Adobe Flash.swf | Exploit-CVE-2007-0071 | פגיעות בתג DefineSceneAndFrameLabelData |
| Windows.asf | W32/GetCodec.worm | מדביק קבצי .asf כדי להטמיע קישורים לדפי אינטרנט זדוניים |
| קובץ Adobe Flash.swf | Exploit-SWF.c | פגיעות בקוד ההפעלה "פונקציה חדשה" של AVM2 |
| QuickTime.mov | מעשה ידי אדם | מבצע קוד שרירותי על המערכת של משתמש היעד |
| קובץ Adobe Flash.swf | Exploit-CVE-2010-2885 | פגיעות במכונה וירטואלית ActionScript 2 |
| קובץ Adobe Flash.swf | ניצול-CVE2010-3654 | פגיעות במחלקת כפתורים MultiName של AVM2 |
| קובץ wmv של חלונות | ניצול CVE-2013-3127 | פגיעות של ביצוע קוד מרחוק במפענח וידאו WMV |
| סרטון Matroska .mkv | ניצול-CVE2019-14438 | פגיעות ב-VLC, מבצעת קוד שרירותי עם הרשאות במערכת של משתמש היעד |
פתרונות
ספקי אנטי-וירוסים רבים הוסיפו כעת אפשרות לזיהוי על ידי חיפוש חתימות URL בתוך קבצי סוג מדיה. OPSWAT
MetaDefender טכנולוגיית Multiscanning מרובת משתמשים ביותר מ-35 מנועי אנטי-וירוס ומשפרת משמעותית את זיהוי איומים ידועים ולא ידועים. Deep CDR תומך גם בפורמטים של קבצי וידאו ואודיו ויכול לסייע במניעת התקפות Zero Day. MetaDefender טכנולוגיית file-based vulnerability assessment של יכולה לזהות פגיעויות במתקיני נגני מדיה לפני התקנתן.
אם אין לכם את פתרונות OPSWAT , עליכם לשים לב יותר לקבצי מדיה, אל תצפו בקבצים לא מהימנים, לעולם אל תפעילו נגני מדיה עם הרשאות מוגברות, ואל תקבלו הורדות של קודקים לא ידועים או רישיונות מוזרים. שמרו תמיד על תוכנת נגן המדיה שלכם מעודכנת כדי להימנע מפגיעויות.
הפניות
[2] Killer Music: האקרים מנצלים פגיעויות בנגן Media .
[3] דיוויד ת'יל. "חשיפת פגיעויות Software Media " .
[4] קולין לואיס, בארט רודן, סינתיה סטרטון. "שימוש בנתונים אקראיים מובנים כדי להעכיר בצורה מדויקת את נגני Media ".
