Um arquivo ZIP pode executar automaticamente arquivos dentro dele?

2

Eu tive uma conversa hoje com um membro da equipe do meu e-mail hoster, porque o hoster bloqueou alguns e-mails de meus clientes, porque eles continham arquivos ZIP.

Depois que eu perguntei por que os e-mails foram bloqueados, eles responderam que o cliente havia me enviado um arquivo zip executável e como há muitos e-mails com trojans anexados, todos os e-mails com arquivos zip executáveis ​​seriam automaticamente bloqueados.

Embora eu saiba que os zip executáveis ​​de correspondência são 99% seguramente um trojan, fiquei confuso. Um arquivo ZIP executável (auto-extraível) não seria um arquivo * .zip, mas deve ser um arquivo * .exe, certo? Eu repiquei isso para a equipe e disse-lhe que - afaik - nenhum sistema operacional no mundo jamais trataria e executaria um arquivo * .zip diretamente como um programa.

Ele respondeu que (sem ofensa), eu teria uma grande falta de informação. Eu estou mais ou menos traduzindo de seu email alemão agora: Em diferentes versões de ms-windows, um arquivo zip será exibido diretamente como uma pasta. Na versão atual do osX, um arquivo zip anexado será diretamente extraído. Em ambos os casos, o arquivo zip será escaneado para cabeçalhos especiais com diretivas adicionais. O código executável armazenado lá será obviamente executado sem pedir permissão ao usuário.

Que. Eu fiquei perplexo. Como é "exibir uma lista de conteúdo do arquivo" o mesmo que extrair e executar material do arquivo? Porque ele sugere que é o caso. E apesar de eu achar que a extração automática de arquivos, como o Apple Mail, é um problema absoluto, isso ainda não executaria nada. Ou isso? Esse cara sabe mais sobre arquivos zip do que eu depois de trabalhar com eles desde sempre?

Christian Engel
fonte
Esta resposta no SO parece responder à sua pergunta com "não": stackoverflow.com/a/10970425/897968
FriendFX

Respostas:

1

Alguns pensamentos. Eu concordo com você, mas posso ver porque um provedor de serviços escolheria bloquear arquivos .zip. Não consigo encontrar muita informação sobre algumas delas, atualizarei se encontrar mais alguma informação.

  1. Existe tal coisa como um bomba zip .

  2. O formato de arquivo ZIP suporta vários formatos de compactação - especificados como um valor de 16 bits. Muitos sistemas operacionais carregariam uma biblioteca para esse método para lidar com compactação e descompactação. Não parece que um personalizado pode ser especificado. janelas .hlp tinha uma vulnerabilidade como esta, onde o .hlp arquivo pode conter uma DLL personalizada para fins de exibição, mas não parece que isso pode ser feito com .zip.

  3. O Windows Explorer lerá certos arquivos * .ini (e outros, dependendo da versão do Windows IIRC) e possivelmente executará programas baseados neles. O Windows 98 permite que você faça muito isso, enquanto eu acredito que em versões posteriores ele é restrito. Não consigo encontrar nada sobre se um arquivo Desktop.ini em um arquivo zip será processado pelo Explorer se aberto. Mas isso pode ser um vetor de ataque.

  4. Tecnicamente, qualquer arquivo aberto pelo Windows que tenha uma extensão reconhecida inicia um programa. Para arquivos .zip, por padrão, é o explorer.exe, mas pode ser outro programa se o usuário tiver instalado um aplicativo ZIP diferente. Se um invasor souber que um usuário tem o WinZip e estiver ciente de uma vulnerabilidade do WinZip, ele poderá ser segmentado.

  5. SFX zips, obviamente, pode ser malicioso.

LawrenceC
fonte
0

Windows (95 OS2? 98? Me?) Adicionou um recurso de "pastas zip" que, tanto quanto eu sei, permanece até hoje. Ele permite que você olhe dentro de arquivos zip como se fossem pastas, então, para o USER, eles aparecem como se fossem apenas arquivos normais. Este foi o propósito original.

Infelizmente, os usuários gostam de clicar em coisas dentro de pastas normais, porque elas podem vê-las. Quando o fazem, o sistema usa a biblioteca interna de extração de arquivos zip para extrair o arquivo para um diretório temporário e, em seguida, executá-lo. O antivírus do sistema precisa então interceptar essa ação e bloquear a tentativa de usar um arquivo com um vírus, seja ele um EXE ou uma macro de planilha ruim do Excel ou qualquer outra coisa.

O único outro problema real que eu posso pensar aqui é quando o usuário clica no arquivo zip para torná-lo exibido como uma pasta que poderia haver explorações de segurança dentro da própria biblioteca zip do Windows, como eu estou supondo que eles não têm muito desejo de torná-lo "melhor" vs desenvolvimento de outros aspectos do Windows. Eles corrigem explorações à medida que são descobertas, naturalmente, mas isso pode levar à desconfiança inerente do recurso de pastas compactadas integradas pelos administradores.

evilspoons
fonte
0

Windows tem execução de arquivo zip, e não é apenas win9X e NT isso existe ainda hoje com o windows 7,8,10. Este é um "recurso" no Windows até que seja reconhecido como uma vulnerabilidade.

também, exe é apenas uma extensão. O Windows examina extensões para determinar como processar arquivos, mas qualquer arquivo pode ser executável. (desde que contenha código executável).

Um desenvolvimento popular na extração e execução de arquivos zip é incluir um shell-script ou java-script que não possua código malicioso inerente (para que a verificação de vírus passe enquanto a coisa está começando a ser executada), ele baixa e executa o código malicioso .

Fiz o upload de alguns scripts maliciosos para o Google ontem e até o Google permitiu que o código fosse enviado, embora ele tenha sinalizado como potencialmente perigoso. (Google, na minha opinião, muitas vezes tem segurança muito decente, então eu queria testá-lo.)

Pelo que eu posso dizer, a MS não acha que arquivos zip executáveis ​​sejam uma vulnerabilidade, sua existência é bem conhecida pelas décadas. Pode haver ou não uma edição de política do Windows para permitir ou não a execução de arquivos zipados por padrão (procurando por isso que acabei nesta página, se eu encontrar, avisarei).

Outros utilitários de descompactação para windows sabem que é melhor executar código ao descomprimir um arquivo. 7zip por exemplo.

j0h
fonte
2
Você pode especificar isso um pouco mais? Talvez dê um link para a documentação sobre como esse arquivo ZIP seria criado, porque isso soa realmente mítico e inacreditável.
Christian Engel
0

Arquivos zip existiam muito antes do Windows. Naquela época, um arquivo Zip se tornou uma maneira popular de passar programas (aplicativos, executáveis).

Para tornar ainda mais fácil para alguém instalar o novo programa, os arquivos Zip foram aprimorados para que pudessem iniciar automaticamente uma execução, normalmente para fazer a instalação, quando eles eram simplesmente abertos.

Hoje, o mesmo recurso dos arquivos Zip que poderiam ter instalado fácil e simplesmente essa nova versão do Super Pong em seu PC, agora podem, de maneira fácil e simples, instalar malwares mal-intencionados (vírus, etc).

Eu sempre sugiro ser tão cauteloso ao abrir um anexo de arquivo Zip, como seria abrir um executável (.exe, .com, .bat).

Walt
fonte
3
Você pode nomear uma funcionalidade específica que "executa automaticamente" durante ou após descompactar que não envolve um mecanismo de "arquivo de extração automática"? (por exemplo, um arquivo especialmente nomeado dentro do arquivo que o descompressor chama automaticamente, semelhante ao CD-ROM autorun.inf). Os autoextradores são criados pelo aplicativo de arquivamento Zip específico, arquivando como normal e, em seguida, anexando o archive como um recurso de dados dentro de uma cópia de si mesmo . Um arquivo zip "regular" que não é executável é, bem, não executável. Uma pesquisa rápida por conta própria traz apenas documentos auto-executáveis.
Yorik