Informagno | Gestão em TI

Os arquivos de texto são seguros?

Os funcionários que recebem e-mails externos geralmente recebem informações sobre quais arquivos são potencialmente perigosos. Por exemplo, os arquivos EXE são considerados inseguros por padrão, assim como os arquivos DOCX e XLSX, que podem conter macros maliciosas. Arquivos de texto, por outro lado, são geralmente considerados inofensivos por padrão, porque não podem conter nada além de texto simples. Mas nem sempre é o caso.

Os pesquisadores descobriram uma maneira de explorar uma vulnerabilidade (agora corrigida) no formato texto e poderiam encontrar mais. O formato do arquivo não é realmente o problema, mas sim a maneira como os programas lidam com TXTs.

Vulnerabilidade CVE-2019-8761 do macOS

O pesquisador Paulos Yibelo destacou uma forma curiosa de atacar computadores macOS por meio de arquivos de texto. Como muitas outras soluções de proteção, o sistema de segurança integrado do macOS, Gatekeeper, considera os arquivos de texto totalmente confiáveis. Os usuários podem baixar e abri-los usando o editor embutido TextEdit sem verificações adicionais.

No entanto, o TextEdit é um pouco mais sofisticado do que o Bloco de notas do Microsoft Windows. Ele pode fazer mais coisas, como exibir texto em negrito, permitir que os usuários alterem a cor da fonte e muito mais. Como o formato TXT não foi projetado para armazenar informações de estilo, o TextEdit obtém as informações técnicas adicionais para que possa lidar com a tarefa. Por exemplo, se um arquivo começa com a linha <! DOCTYPE HTML>, o TextEdit começa a manipular tags HTML, mesmo em um arquivo com extensão .txt.
Essencialmente, escrever o código HTML em um arquivo de texto que começa com essa linha força o TextEdit a processar o código, ou pelo menos alguns elementos dele.

Ataques possíveis através de arquivos de texto

Depois de examinar cuidadosamente todas as possibilidades disponíveis para um invasor potencial usando este método, Yibelo descobriu que a vulnerabilidade permite:

● Ataques DoS. O Gatekeeper não impede a abertura de arquivos locais de um objeto com a extensão TXT. Portanto, abrir um arquivo de texto malicioso pode sobrecarregar um computador, por exemplo, usar o código HTML para acessar o arquivo /dev/zero, uma fonte infinita de caracteres nulos.

● Identificar o endereço IP real de um usuário. O código no arquivo de texto pode acionar o AutoFS, um programa padrão para montar sistemas de arquivos, que pode fornecer acesso a uma unidade externa. Embora essa ação seja inofensiva por si só, porque o processo de montagem automática força o kernel do sistema a enviar uma solicitação TCP, mesmo se o usuário estiver atrás de um servidor proxy, o criador do arquivo de texto malicioso pode descobrir a hora exata em que foi aberto e registrar o endereço IP real.

● Roubo de arquivo. Arquivos inteiros podem ser inseridos em um documento de texto contendo o atributo . Portanto, o arquivo de texto malicioso pode obter acesso a qualquer arquivo no computador da vítima e, em seguida, transferir seu conteúdo usando um ataque de marcação pendente. O usuário só precisa abrir o arquivo.

A vulnerabilidade foi relatada à Apple em dezembro de 2019 e recebeu o número CVE-2019-8761. O post de Paulos Yibelo fornece mais informações.

Como se manter seguro

Uma atualização de 2020 corrigiu a vulnerabilidade CVE-2019-8761, mas não é garantia de que nenhum bug relacionado ao TXT esteja escondido no software. Pode haver outros que ninguém descobriu como explorar – ainda. Portanto, a resposta correta para a pergunta “Este arquivo de texto é seguro?” é algo como: “Sim, por enquanto. Mas fique atento. ”

Portanto, recomendamos treinar todos os funcionários para tratar qualquer arquivo como uma ameaça potencial, mesmo que pareça um arquivo de texto inofensivo.

Independentemente disso, entregar o controle de todos os fluxos de informações de saída da empresa para um treinar todos os funcionários ou interno faz sentido.

Fonte: Kaspersky