Publicat inițial la 17 februarie 2014.
Fișierele video nu sunt considerate în mod obișnuit ca fiind tipuri de fișiere potențial malițioase sau infectate, dar este posibil ca ca un program malware să fie încorporat sau deghizat ca fișier video. Din cauza acestei concepții greșite comune, fișierele audio și video sunt vectori de amenințare interesanți pentru autorii de programe malware.
De ce vă îngrijorează fișierele video?
- Media sunt programe utilizate frecvent, utilizatorii au tendința de a le folosi pentru o perioadă lungă de timp, lăsându-le deschise în timpul altor sarcini, și schimbă frecvent fluxurile media.
- Multe vulnerabilități sunt găsite în playerele media. NIST [1] indică peste 1.200 de vulnerabilități din 2000 până în prezent. 2014 [2]. La începutul anului 2020, NIST a înregistrat o nouă vulnerabilitate de mare gravitate, CVE-2020-0002, în Android Media Framework.
- Conținutul video atractiv și internetul de mare viteză îi determină pe utilizatori să descarce și să partajeze fără să fie atenți și, deoarece aceste fișiere sunt percepute ca fiind relativ inofensive, utilizatorii sunt dispuși să redea fișierele care le sunt oferite.
- Formatele de fișiere implicate sunt fluxuri binare și tind să fie destul de complexe. Este necesară o mare cantitate de analiză pentru a manipulare, iar calculele de redare pot duce cu ușurință la erori de numere întregi.
- Fișierul este, de obicei, de dimensiuni mari; este probabil ca utilizatorii să sară peste soluțiile de scanare pentru a evita impactul asupra performanței.
- Acestea sunt percepute ca fiind relativ inofensive - este probabil ca utilizatorii să redea fișierele care le sunt oferite.
- Există o mare varietate de playere audio diferite și multe codecuri și plugin-uri de fișiere audio diferite, toate scrise de persoane care, în general, nu sunt axate pe securitate.
- Utilizatorii descarcă videoclipuri din multe surse nesigure, iar videoclipurile rulează cu privilegii și priorități destul de ridicate. De exemplu, în Windows Vista, o instanță de Internet Explorer cu privilegii scăzute poate lansa conținut în format Windows Media Player cu privilegii mai mari.
- Videoclipurile sunt frecvent invocate fără ca utilizatorul să recunoască în mod explicit acest lucru (de exemplu, încorporate într-o pagină web) [3].
Vectorii tipici de vulnerabilitate
Fuzzing media player printr-un fișier video modificat
Fuzzing este o metodă generică de a forța un program să se comporte neașteptat prin furnizarea de programe invalide, neașteptate sau aleatorii. neașteptate sau neașteptate la intrări.
Fuzzing-ul este conceput pentru a găsi bug-uri profunde și este folosit de dezvoltatori pentru a asigura robustețea codului, totuși, un cel mai bun instrument al dezvoltatorului poate fi folosit și pentru a exploata utilizatorul. În cazul playerelor media, care se presupune că sunt "formate strict", un fișier video real corupt poate expune multe erori, majoritatea cauzate de dereferențierea indicatorilor nuli. Acest lucru are ca rezultat în accesarea necorespunzătoare a memoriei, ceea ce oferă posibilitatea de a scrie în memorie ceva ce nu este destinat să a fi scris [4]. Din fericire, fuzzing-ul playerelor media necesită o cunoaștere aprofundată a formatului de fișier sau, în caz contrar, a fișierul corupt, va fi pur și simplu ignorat de către player.
Inserarea de hyperlinkuri într-un fișier video
O metodă mai directă este obținută prin încorporarea unui URL în fișierele media moderne.
De exemplu, Microsoft Advanced System Format (ASF) permite executarea unor comenzi de script simple. În acest caz, "URLANDEXIT" este plasat la o anumită adresă și după orice URL. Atunci când acest cod se execută, utilizatorul este direcționat către descărca un fișier executabil, deseori deghizat ca un codec și care îl invită pe utilizator să îl descarce pentru a putea reda media.
MetaDefender Cloud, instrumentul de scanare multiplă anti-malware al OPSWAT, are un exemplu al unui astfel de fișier:
opswat/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information.
Numele amenințării este "GetCodec." În acest exemplu, playerul media a fost redirecționat către un link de descărcare a unui troian. A se vedea troianul scanat aici.
Exemple de exploatări de tip fișier
Mai jos este un tabel care enumeră formatele populare de fișiere media care au fost exploatate prin direcționarea utilizatorului către fișiere malițioase. site-uri rău intenționate sau prin executarea de coduri arbitrare de la distanță pe sistemele utilizatorilor țintă.
| Format de fișier | Detecție | Descriere |
| Windows .wma/.wmv | Downloader-UA.b | Exploatează un defect în Digital Rights Management |
| Real Media .rmvb | W32/Realor.worm | Infectează fișierele Real Media pentru a încorpora linkuri către site-uri malițioase |
| Real Media .rm/.rmvb | Artizanat uman | Lansează pagini web malițioase fără a fi solicitat |
| QucikTime.mov | Artizanat uman | Lansează hyperlink-uri încorporate către site-uri pornografice |
| Adobe Flash.swf | Exploit-CVE-2007-0071 | Vulnerabilitate în tag-ul DefineSceneAndFrameLabelData |
| Windows.asf | W32/GetCodec.worm | Infectează fișierele .asf pentru a încorpora link-uri către pagini web malițioase |
| Adobe Flash.swf | Exploit-SWF.c | Vulnerabilitate în AVM2 "new function" opcode |
| QuickTime.mov | Artizanat uman | Execută cod arbitrar pe sistemul utilizatorului țintă |
| Adobe Flash.swf | Exploit-CVE-2010-2885 | Vulnerabilitate în ActionScript Virtual Machine 2 |
| Adobe Flash.swf | Exploit-CVE2010-3654 | Vulnerabilitate în clasa de butoane AVM2 MultiName |
| Windows .wmv | Exploatați CVE-2013-3127 | WMV Video Decoder WMV Vulnerabilitatea de executare a codului de la distanță |
| Matroska Video .mkv | Exploit-CVE2019-14438 | Vulnerabilitate în VLC, execută cod arbitrar cu privilegii pe sistemul utilizatorului țintă |
Soluții
Mulți furnizori de programe anti-malware au adăugat acum detectarea prin căutarea semnăturilor URL în interiorul fișierelor de tip media. OPSWAT
MetaDefender Multiscanning Această tehnologie valorifică peste 35 de motoare anti-malware și îmbunătățește semnificativ detectarea
amenințărilor cunoscute și necunoscute. Deep CDR suportă, de asemenea, formate de fișiere video și audio și poate ajuta la prevenirea atacurilor Zero Day
Zero Day. MetaDefender's file-based vulnerability assessment poate detecta vulnerabilitățile din instalatoarele media player
înainte ca acestea să fie instalate.
Dacă nu aveți OPSWAT Solutions, trebuie să acordați mai multă atenție fișierelor media, să nu vizualizați fișiere care nu sunt de încredere, niciodată să nu rulați playere media cu privilegii ridicate și nu acceptați descărcări de codecuri necunoscute sau licențe ciudate. Întotdeauna mențineți software-ul playerului media actualizat pentru a evita vulnerabilitățile.
Referințe
[1]Baza de date națională privind vulnerabilitatea.
[2]Killer Music: Hackerii exploatează vulnerabilitățile Media Player Vulnerabilități.
[3]David Thiel. "Exposing Vulnerabilities in Media Software".
[4]Colleen Lewis, Barret Rhoden, Cynthia Sturton. "Using Structured Random Data to Precisely Fuzz Media Players".
