image

7-Zip ondersteunt nu optioneel Mark-of-the-Web beveiligingsfeature

woensdag 22 juni 2022, 14:23 door Redactie, 6 reacties

Het populaire archiveringsprogramma 7-Zip heeft eindelijk ondersteuning voor de Mark-of-the-Web (MOTW) beveiligingsfeature van Windows gekregen, maar gebruikers moeten die wel zelf inschakelen. MOTW zorgt ervoor dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is.

Verschillende applicaties zoals Microsoft Office ondersteunen Mark-of-the-Web. Deze ondersteuning ontbrak echter in 7-Zip. Dit tot ongenoegen van allerlei beveiligingsexperts. Wanneer gebruikers bijvoorbeeld een zip-bestand via internet downloaden en daarna de inhoud via 7-Zip uitpakken, wordt het Mark-of-the-Web niet doorgegeven aan de uitgepakte bestanden. Iets wat een beveiligingsrisico kan zijn. Zo zijn in het verleden 7-Zip-archieven gebruikt voor de verspreiding van malware.

7-Zip-ontwikkelaar Igor Pavlov heeft in de nieuwste versie van 7-Zip (22.00), die vorige week uitkwam, de feature eindelijk toegevoegd. Gebruikers moeten die wel zelf inschakelen, aangezien "Propagate Zone.Id stream", zoals het archiveringsprogramma Mark-of-the-Web noemt, standaard staat uitgeschakeld.

Image

Reacties (6)
22-06-2022, 21:20 door Anoniem
Gebruikers moeten die wel zelf inschakelen
Had dan niks gedaan! Nu heeft het totaal geen enkele zin...
23-06-2022, 10:51 door Anoniem
Misschien dat ik iets mis, maar dit voelt een beetje als de evil bit (RFC 3514). Hoe maakt dit iets veiliger? Boeven kunnen toch die flag niet zetten?
23-06-2022, 15:09 door Anoniem
Door Anoniem: Misschien dat ik iets mis, maar dit voelt een beetje als de evil bit (RFC 3514). Hoe maakt dit iets veiliger? Boeven kunnen toch die flag niet zetten?
Nee het idee is dat als een applicatie (bijvoorbeeld een browser of een mailprogramma) een file van internet afhaalt
of krijgt, deze dan bij het opslaan op disk die vlag er aan toevoegt.
Een programma als 7-zip zou dan die vlag moeten doorcopieren naar files die het uitpakt, dus als je een .zip hebt met
die vlag dan moet je de uitgepakte files ook weer van die vlag voorzien.
Maar omdat 7-zip dat alleen maar doet als je het zelf eerst aanzet in de settings heeft die toegevoegde functie
TOTAAL GEEN ZIN, immers mensen die weten dat dit risico er is en die setting aanpassen die zijn ook wel zo slim
om geen gedownloade executables uit te gaan voeren. En beheerders die zo slim zijn om dit soort settings te
configureren die zijn wel zo slim om in het algemeen het uitvoeren van door de gebruiker gedownloade bestanden
te verbieden.
M.a.w. dit was leuk geweest als het default AAN stond, nu het default UIT staat is het totaal nutteloos.
23-06-2022, 19:59 door Anoniem
Door Anoniem:
Door Anoniem: Misschien dat ik iets mis, maar dit voelt een beetje als de evil bit (RFC 3514). Hoe maakt dit iets veiliger? Boeven kunnen toch die flag niet zetten?
Nee het idee is dat als een applicatie (bijvoorbeeld een browser of een mailprogramma) een file van internet afhaalt
of krijgt, deze dan bij het opslaan op disk die vlag er aan toevoegt.
Een programma als 7-zip zou dan die vlag moeten doorcopieren naar files die het uitpakt, dus als je een .zip hebt met
die vlag dan moet je de uitgepakte files ook weer van die vlag voorzien.
Maar omdat 7-zip dat alleen maar doet als je het zelf eerst aanzet in de settings heeft die toegevoegde functie
TOTAAL GEEN ZIN, immers mensen die weten dat dit risico er is en die setting aanpassen die zijn ook wel zo slim
om geen gedownloade executables uit te gaan voeren. En beheerders die zo slim zijn om dit soort settings te
configureren die zijn wel zo slim om in het algemeen het uitvoeren van door de gebruiker gedownloade bestanden
te verbieden.
M.a.w. dit was leuk geweest als het default AAN stond, nu het default UIT staat is het totaal nutteloos.

Beheerders zullen dat wel aanzetten binnen een bedrijfscontext.
Als gebruikers zelf 7-zip kunnen configureren in zo'n context zijn er wel dringendere beveiligingsproblemen om aan te pakken.

Mark-off-the-web is leuk en heeft zijn nut. Het is en blijft echter een feature van het NTFS- filesystem waarop je de bestanden opslaat. (Via een alternate data stream). Op andere filesystems werkt dit sowieso niet.

Gezien alternate data streams zelf ook te misbruiken zijn door malware, kan dit NTFS feature ook uitgeschakeld zijn.

Dus als je dat kan gebruiken, dan zet je dat aan maar aangezien het een feature is die lang niet in alle omstandigheden bruikbaar is lijkt het mij beter dat het by default niet aan staat.

Of is de integriteit van bestanden/directories niet belangrijk?
25-06-2022, 21:46 door Erik van Straten
In https://github.com/nmantani/archiver-MOTW-support-comparison vind je een momenteel up-to-date overzicht van "archivers" (compressieprogramma's) die wel, deels of niet het MotW ondersteunen.
29-06-2022, 10:28 door Anoniem
Door Anoniem: Misschien dat ik iets mis, maar dit voelt een beetje als de evil bit (RFC 3514). Hoe maakt dit iets veiliger? Boeven kunnen toch die flag niet zetten?

deze flag is niet zo simpel als het zetten van een bit, een flag impliceert dat er ook accounting wordt bijgehouden van deze state, voor windows is dat via de registry en/of het filesystem. Deze flag is een systeem-attribuut wat het niet mogelijk maakt om deze 'zomaar' te wijzigen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.