Tekstbestand virussen vrij spel door lek in CMD?
Volgens de Australische programmeur Geoff Vass zijn tekstbestanden niet langer meer onschuldig. Vass maakte onlangs bekend dat hij een lek in CMD, de command line interface van Microsoft, heeft ontdekt waardoor gebruikers misleid kunnen worden om een virus uit te voeren. De CMD kijkt namelijk naar de header van een bestand en voert die daarna uit. Het is echter mogelijk om de extensie van een kwaadaardig bestand te hernoemen in iets anders. Neem bijvoorbeeld virus.exe dat in onschuldig.txt hernoemd kan worden. CMD zal dit bestand echter wel uitvoeren, iets dat volgens Vass reden tot zorgen is en Microsoft zou het probleem dan ook zo snel mogelijk moeten verhelpen, zo gaat dit artikel verder.
een gratis computervirus bij elk Happy Meal...
Mensen met verstand van computers weten namelijk dat ze een
.txt bestand moeten openen met edit, een .exe bestand moeten
scannen op virussen, en elk ander extentie met de daarvoor
benodigde applicatie te openen.
Mensen die geen verstand hebben van pc's gebruiken cmd niet.
C:WindowsNotepad.exe naar blabla.txt en je dubbelklikt 'm
dan, dan opent-ie gewoon met Notepad.
Gelukkig maar dat 90% van de Windows-gebruikers alleen maar
kan klikken :)
header van een bestand dat de type bepaald (en dus ook het
icoon zou moeten bepalen). Veel malware scanners doen dit
fout en het is dus aan te raden om alle bestanden te scannen.
De GUI zal aan de hand van de header moeten bepalen wat voor
een bestand het is en aan de mime-type bepalen met welke
alternative actie het bestand moet worden geopend.
http://www.winguides.com/registry/display.php/627/
kun je er bijvoorbeeld wel cmd.pif van maken. Dan laat de file in je win
verkenner geen extensie zien (ook al heb je "show all" aanstaan!) en is het
toch te runnen. Maarja, dat is wel behoorlijk logisch bij een .pif bestand
(deze worden ook geblokt door je virusscanners als het goed is) Maar
misschien is het mogelijk om dit ook met de andere 5 extensies te doen??
het lukte mij in ieder geval nog niet zo snel.
klein voorbeeld
copy c:windowssystem32cmd.exe c:
cd c:
rename cmd.exe cmd.pif
en dan via windows verkenner c:cmd aanklikken..
misschien dat zoiets ook mogelijk is met de andere extensie.. ik denk dat
met .lnk zoiets wel te fixen moet zijn??
wel leuk die windows features... maar eigenlijk niet echt iets nieuws onder
de zon..
enige 2 aps die dit niet goed doen.
oplossingen/e-mail/virusscanners laten geen .txt door als
dat stiekem een .exe blijkt te zijn, waar is dan het
probleem? Zonder virusscanner komt het virus sowieso door dus...
We gaan een probleem oplossen met een ander programma zonder
het probleem op te lossen.
Dit ruikt naar meer.
Het probleem van het andere programma gaan we weer opolossen
met weer een ander programma.
Kom nou repareer gewoon het eerste probleem we hebben al
genoeg problemen met software en laten we dit nu niet
repareren en voorkomen met een ander programma wat weer een
ander probleem heeft.
enige 2 aps die dit niet goed doen.
een MS Windows idee.
Een implementatie keuze van MS, die incompatible is met
internet.
Al vanaf de eerste ICQ 98? exploits was het duidelijk dat
het hele extensie idee, een slecht idee is. Vele IE exploits
hebben dat punt IMO alleen maar versterkt. Niet te noemen
elke keer dat een stukje malware weer op een nieuwe manier
binnendrong. Het hebben van exectable rechten leidt tot
minder fouten omdat het besturingssysteem de taak van de
incompetente gebruiker wegneemt . Geef het standaard geen
executable permissies en de gebruiker weet dat het een
executable is omdat hij/zij zelf de permissies verandert.
Geen fout in cmd het is ongewenst in de GUI! Het is de
header van een bestand dat de type bepaald (en dus ook het
icoon zou moeten bepalen). De GUI zal aan de hand van de
header moeten bepalen wat voor een bestand het is en aan de
mime-type bepalen met welke alternative actie het bestand
moet worden geopend.
Ik vind herkennen aan MIME-type, herkennen aan
bestands-extensie en herkennen aan magic numbers alle 3
prima opties. Het gaat erom dat je er niet vanuit mag gaan
dat alle programma's bestandstypen op dezelfde manier herkennen.
Als jij een browser schrijft en beslist dat je
tekstbestanden wel wilt openen, en tekstbestanden wil
herkennen aan de bestands-extensie, kan dat prima. Je moet
dan wel afdwingen dat het ook echt als tekstbestand wordt
geopend. Dus niet doorgeven aan een ander programma dat op
basis van magic numbers of andere grappen bepaalt hoe het
het bestand gaat behandelen.
Vanuit security-oogpunt is het niet echt belangrijk *welke*
methode je kiest, maar je moet wel zorgen dat je programma's
er op een compatibele manier mee om gaan. Het is meer een
compatibiliteitsprobleem dan een probleem in een specifiek
programma.
Geen fout in cmd het is ongewenst in de GUI! Het is de
header van een bestand dat de type bepaald (en dus ook het
icoon zou moeten bepalen). Veel malware scanners doen dit
fout en het is dus aan te raden om alle bestanden te scannen.
De GUI zal aan de hand van de header moeten bepalen wat voor
een bestand het is en aan de mime-type bepalen met welke
alternative actie het bestand moet worden geopend.
Dit is een beetje de Unix Magic number vs. de extensie discussie.
Ondanks het feit dat Unix het magic number systeem heeft (herkennen
aan de haader), zie je toch dat in de praktijk extensies handiger zijn.
Dit probleem (MIME types, extensies, headers) zal nog wel even door
blijven spelen, aangezien er niet een methode is die in alle situaties goed
gebruikt kan worden.
Ik ben er zelf voor om altijd bij webcontent/mail altijd de MIME-type/header te
gebruiken voor het bepalen wat de content is, maar op het file-systeem altijd
de extensie. Mocht iets gedownload worden met een foute (of geen) extensie,
dan zou daar een extra extensie achter gezet moeten worden zodra de data
als file op het filesystem opgeslagen wordt.
Internet applicaties houden zich dan keurig aan de standaarden, en
applicaties kunnen op een makkelijke manier weten hoe iets gebruikt moet
worden, en hoe iets weer te geven. Het zorgt er ook meteen voor dat je niet
een gebruiker kunt tricken om een text-file als executable uit te voeren
(in de client wordt de data correct als executable weergegeven, en op het file-
system krijgt het een extensie die ervoor zorgt dat je als gebruiker ook niet
per ongeluk een text-file als programma kunt uitvoeren).
=tifkap
openen door de bestandsnaam aan te roepen en ervan uit te
gaan dat Windows weet welke app. hij (zij?) moet gebruiken.
Ik laat vaak een batch op de achtergrond draaien en laat de
logfile openen als 'ie klaar is. Dat ga ik nu anders doen:
fout
"logfile.txt" --> opent logfile met notepad TENZIJ het een
executable is, dan runt'ie
goed:
"notepad logfile.txt" --> nu weet ik zeker dat het bestand
met notepad geopend wordt, ook al is het een executable.
bestand?
Als je met http een bestand ophaalt, stuurt de webserver
'HTTP-headers' en het bestand zelf. In die HTTP-headers
staat onder andere het MIME-type. Het MIME-type zegt iets
als 'Dit is een text/html-bestand' of 'dit is een
text/plain-bestand'.
Stel dat je browser nu bijvoorbeeld zo ingesteld staat dat
hij bestanden van het type 'audio/x-wav' altijd meteen
opstart, en wel met een programma dat naar de extensie kijkt
om te bepalen op welke manier dat bestand moet worden
opgestart. Dan ben je dus mooi de pineut als je een bestand
'evilhacker.exe' downloadt dat als MIME-type 'audio/x-wav'
meekrijgt van de server.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.