Um arquivo ZIP pode executar automaticamente arquivos dentro dele?

Navegue suas respostas
2

Eu tive uma conversa hoje com um funcionário do meu host de email, porque o host acabou bloqueando alguns emails de meus clientes, porque eles continham arquivos ZIP.

Depois que eu perguntei por que os e-mails foram bloqueados, eles responderam que o cliente tinha me enviado um arquivo zip executável e porque atualmente há muitos e-mails com trojans anexados, todos os e-mails com arquivos zip executáveis seriam automaticamente bloqueados. / p>

Embora eu saiba que os zip executáveis de correspondência são 99% seguramente um trojan, fiquei confuso. Um arquivo ZIP executável (auto-extraível) não seria um arquivo * .zip, mas deve ser um arquivo * .exe, certo? Eu repiquei isso à equipe e disse a ele que - afaik - nenhum sistema operacional no mundo jamais trataria e executaria um arquivo * .zip diretamente como um programa.

Ele respondeu que (sem ofender), eu teria uma grande falta de informação. Eu estou mais ou menos traduzindo de seu email alemão agora: Em versões diferentes de ms-windows, um arquivo zip será exibido diretamente como uma pasta. Na versão atual do osX, um arquivo zip anexado será diretamente extraído. Em ambos os casos, o arquivo zip será verificado para cabeçalhos especiais com diretivas adicionais. O código executável armazenado lá será obviamente executado sem pedir permissão ao usuário.

Isso. Eu fiquei perplexo. Como é "exibir uma lista de conteúdo do arquivo" o mesmo que extrair e executar coisas do arquivo? Porque ele sugere que é o caso. E apesar de eu achar que arquivos de extração automática como o Apple Mail é um absoluto não-ir, isso ainda não executaria nada. Ou isso? Esse cara sabe mais sobre arquivos zip do que eu depois de trabalhar com eles desde sempre?

    
por Christian Engel 17.02.2015 / 16:56

4 respostas

1

Alguns pensamentos. Eu concordo com você, mas posso ver porque um provedor de serviços escolheria bloquear arquivos .zip. Não consigo encontrar muita informação sobre algumas delas, atualizarei se encontrar mais alguma informação.

  1. Existe uma bomba zip .

  2. O formato de arquivo ZIP suporta vários formatos de compactação - especificados como um valor de 16 bits. Muitos sistemas operacionais carregariam uma biblioteca para esse método para lidar com compactação e descompactação. Não parece que um personalizado pode ser especificado. O Windows .hlp tinha uma vulnerabilidade como essa, em que o arquivo .hlp poderia conter uma DLL personalizada para fins de exibição, mas não parece que isso pode ser feito com .zip .

  3. O Windows Explorer lerá certos arquivos * .ini (e outros, dependendo da versão do Windows IIRC) e possivelmente executará programas baseados neles. O Windows 98 permite que você faça muito isso, enquanto eu acredito que em versões posteriores ele é restrito. Não consigo encontrar nada sobre se um arquivo Desktop.ini em um arquivo zip será processado pelo Explorer se aberto. Mas isso pode ser um vetor de ataque.

  4. Tecnicamente, qualquer arquivo aberto pelo Windows que tenha uma extensão reconhecida inicia um programa. Para arquivos .zip, por padrão, é o explorer.exe, mas poderia ser outro programa se o usuário tiver instalado um aplicativo ZIP diferente. Se um invasor souber que um usuário tem o WinZip e estiver ciente de uma vulnerabilidade do WinZip, ele poderá ser segmentado.

  5. Os zips SFX obviamente podem ser maliciosos.

por 08.04.2018 / 23:15
0

O Windows (95 OS2? 98? Me?) adicionou um recurso de "pastas zip" que, até onde eu saiba, permanece até hoje. Ele permite que você olhe dentro de arquivos zip como se fossem pastas, então, para o USER, eles aparecem como se fossem apenas arquivos normais. Este foi o propósito original.

Infelizmente, os usuários gostam de clicar em coisas dentro de pastas normais, porque podem vê-las. Quando o fazem, o sistema usa a biblioteca de extração de arquivos zip embutida para extrair o arquivo para um diretório temp e depois executá-lo. O antivírus do sistema precisa então interceptar essa ação e bloquear a tentativa de usar um arquivo com um vírus, seja ele um EXE ou uma macro de planilha do Excel ou algo assim.

O único outro problema real que eu posso pensar aqui é quando o usuário clica no arquivo zip para torná-lo exibido como uma pasta que poderia haver explorações de segurança dentro da própria biblioteca zip do Windows, como eu estou supondo que eles não têm muito desejo de torná-lo "melhor" vs desenvolvimento de outros aspectos do Windows. Eles corrigem explorações à medida que são descobertas, naturalmente, mas isso pode levar à desconfiança inerente do recurso de pastas compactadas integradas pelos administradores.

    
por 17.02.2015 / 17:24
0

O Windows tem execução de arquivo zip, e não é apenas win9X e NT isso existe até hoje com o windows 7,8,10. Este é um "recurso" no Windows até que seja reconhecido como uma vulnerabilidade.

também, exe é apenas uma extensão. O Windows examina extensões para determinar como processar arquivos, mas qualquer arquivo pode ser executável. (desde que contenha código executável).

Um desenvolvimento popular na extração e execução de arquivos zip é incluir um shell script ou java-script que não possui código inerentemente malicioso (assim, a varredura de vírus é transmitida enquanto a coisa está começando a ser executada). o código malicioso.

Enviei alguns scripts maliciosos para o Google ontem, e até o Google permitiu que o código fosse enviado, embora tenha sinalizado como potencialmente perigoso. (Google, na minha opinião, muitas vezes tem segurança muito decente, então eu queria testá-lo.)

Pelo que eu posso dizer, a MS não acha que arquivos zip executáveis sejam uma vulnerabilidade, sua existência é bem conhecida por Décadas. Pode haver ou não uma edição de política do Windows para permitir ou não a execução de arquivos zipados por padrão (procurando por isso que acabei nesta página, se eu encontrar, avisarei).

Outros utilitários de descompactação para windows sabem que é melhor executar código ao descompactar um arquivo. 7zip por exemplo.

    
por 21.06.2016 / 14:21
0

Os arquivos zip existem muito antes do Windows. Naquela época, um arquivo Zip se tornou uma maneira popular de passar programas (aplicativos, executáveis).

Para tornar ainda mais fácil para alguém instalar o novo programa, os arquivos zip foram aprimorados para que pudessem iniciar automaticamente uma execução, geralmente para fazer a instalação, quando eles eram abertos.

Hoje, esse mesmo recurso de arquivos Zip que poderiam ter instalado fácil e simplesmente essa nova versão do Super Pong no seu PC, agora pode, de maneira fácil e simples, instalar malwares mal-intencionados (vírus, etc.).

Eu sempre sugiro ser cauteloso ao abrir um anexo de arquivo Zip, como seria abrir um executável (.exe, .com, .bat).

    
por 13.10.2016 / 19:05

Tags

libreoffice escritor figura cross-refencence Nenhum pacote disponível ao instalar pacotes no CentOS 6.6