English version attached below.
Es sind nun einige Tage vergangen, seit dem ich an einer Administratorenschulung für eine IT-Sicherheitssoftware teilnahm. Ein Bestandteil dieser Software ermöglicht das sichere Kopieren von Daten auf ein USB-Device beziehungsweise von eben diesem.
Als am ersten Tag der Schulung die Funktionsweise erklärt wurde, merkte ich an, dass bei der erläuterten Arbeitsweise binärverkettete Dateien nicht erkannt werden und veranschaulichte dies an einer gif-Datei mit einem verketteten Zip-Ordner.
Mit einem verlegenen "Das sende ich mal an die Techniker." wurde dann erst am nächsten Morgen eine Lösung präsentiert. Diese Lösung sah vor, nicht mehr nur den Dateikopf auf zulässige Dateitypen oder Schadecode zu durchsuchen, sondern die gesamte Datei. Als Kommentar erhielt ich dann noch die Bemerkung "Es war eine Anpassung der pattern notwendig - dies kann bei Bedarf jederzeit für Sie vorgenommen werden." ich wiedersprach und sah hier eine Sicherheitslücke, die erwartungsgemäß umgehend geschlossen werden sollte.
Quelle: Pixarbay - CC0
Wie mir später auffiel, funktionierten die neuen Regeln lediglich für gif-Dateien.
Mit pdf- und svg-Dateien als Wirt, gelang mir das unbemerkte verketten eines EICAR im Schulungssystem.
Doch, worum geht es genau?-hier ein Beispiel:
copy /B Wirtdatei.gif + /B Ordner.7z VerketteteDatei.gif
Ein einfacher DOS-Befehl, der in einer vermeintlich sicheren Umgebung ausgeführt werden kann. Die VerketteteDatei.gif kann nun per E-Mail oder USB ausgeschleust werden, ohne das diese als korrupt erkannt wird und eine Meldung vom System erfolgt oder der Zugriff verhindert wird.
Das so erstellte Bild kann auf dem Zielsystem einfach entpackt oder mit einem (in diesem Fall) 7zip-Programm geöffnet werden.
Wie seht ihr das? Sollte das Erkennen solcher Dateien ein "bei Bedarf" mögliches Update sein?
Ist zufällig jemand in der zweiten Oktoberwochen auch auf der it-sa in Nürnberg?
A few days have passed since I took part in an administrator training course for an IT security software. One component of this software enables the secure copying of data to and from a USB device.
When on the first day of the training the function mode was explained, I noticed that with the explained function binary chained files are not recognized and illustrated this at a gif file with a chained Zip folder.
With an embarrassed "I'll send this to the technicians", a solution was presented the next morning. This solution intended to search not only the file header for allowed file types or malicious code, but the whole file. As a comment I received the remark "An adjustment of the pattern was necessary - this can be done for you at any time if necessary". I spoke again and saw here a security hole, which should be closed as expected immediately.
As I noticed later, the new rules only worked for gif files.
With pdf and svg files as hosts, I managed to chain an EICAR in the training system unnoticed.
But what exactly is it about?-here an example:
copy /B hostfile.gif + /B folder.7z ChainedFile.gif
A simple DOS command that can be executed in a supposedly secure environment. The ChainedFile.gif file can now be ejected via email or USB without it being detected as corrupt and a message being issued by the system or access being prevented.
The image created in this way can simply be unpacked on the target system or opened with a (in this case) 7zip program.
How do you see this? Should the detection of such files be a possible update "on demand"?
By chance, is anyone at the it-sa in Nuremberg in the second week of October?
@glueckskind, I gave you a vote!
If you follow me, I will also follow you in return!