Genellikle TXT uzantısına sahip dosyaların güvenli olduğu düşünülür. Ama gerçekten öyle mi?
Harici e-postalar alan çalışanlar genelde hangi dosyaların potansiyel olarak tehlikeli olduğu ile ilgili bilinçlendirilir. Örneğin EXE dosyaları da, kötü niyetli makrolar içerebilen DOCX ve XLSX dosyaları gibi varsayılan olarak tehlikeli kabul edilir. Öte yandan metin dosyaları, düz metinden diğer bir şey içeremedikleri için genelde kasıtlı olarak zararsız kabul edilir. Ancak durum her zaman böyle değildir.
Araştırmacılar, dosya şeklindeki (şu an yamalanmış olan) bir güvenlik açığından faydalanmanın bir yolunu buldular ve daha da fazlasını bulabilirlerdi. Aslında problem dosya şeklinden değil; uygulamaların TXT’leri prosedüre biçiminden kaynaklanıyor.
macOS’un CVE-2019-8761 güvenlik açığı
Araştırmacı Paulos Yibelo, enteresan bir yol ile metin dosyaları üzerinden macOS bilgisayarlara saldırma konusuna ışık tuttu. Diğer çoğu koruyucu çözüm gibi, macOS’un yerleşik güvenlik sistemi Gatekeeper da metin dosyalarını tamamıyla güvenilir olarak görür. Kullanıcılar ek kontroller olmadan metin belgelerini indirebilir ve işletim sistemi üzerinde yerleşik metin düzenleyicisi TextEdit ile açabilir.
Ancak TextEdit, Microsoft Windows’un Not Defteri uygulamasından biraz daha kompliketır. Metnin kalın görüntülenmesi gibi daha çok şey yapabilir, kullanıcıların yazı tipi rengini değiştirmesi ve daha diğer birçok şeye izin verir. TXT dosya şekli yazının stil bilgilerini saklamak üzere tasarlanmadığından, bu görevi yerine getirebilmek için gereken ek yöntem bilgileri TextEdit alır. Örneğin bir dosya, <!DOCTYPE HTML> <html> <head> </head> <body> satırıyla başlıyorsa TextEdit, .txt uzantılı bir dosyada bile HTML etiketlerini prosedüreye başlar.
Aslında bir metin dosyasına bu satırla başlayan HTML kodunun yazılması, TextEdit’i kodu ya da en azından kodun bazı unsurlarıni prosedüreye zorlar.
Metin dosyaları aracılığıyla gerçekleşebilecek olası saldırılar
Bu tekniği kullanacak olan potansiyel bir saldırganın faydalanabileceği bütün ihtimalları dikkatlice inceledikten sonra Yibelo, bu güvenlik açığının şunlara imkân sağladığını buldu:
DoS saldırıları. Gatekeeper, TXT uzantısına sahip bir nesneden mahalli dosyaların açılmasını önlemez. Bu nedenle kötü niyetli bir metin dosyasını açmak, örnek olarak HTML kodu sonsuz sayıda boş karakter yaratılan /dev/zero dosyasına erişerek bir bilgisayarı aşırı yükleyebilir.
Bir kullanıcının gerçek IP adresini tanımlama. Metin dosyasındaki kod, dosya sistemlerini bağlamak için standart bir uygulama olan ve harici bir sürücüye erişim sağlayabilen AutoFS’yi çağırabilir. Bu eylem kendi başına zararsız olsa da, otomatik bağlama prosedürü sistem çekirdeğini bir TCP talebi göndermeye zorladığından, kullanıcı bir proxy serversunun arkasında olsa dahi, kötü niyetli metin dosyasını hazırlayan kişi dosyanın tam anlamıyla ne zaman açıldığını bulabilir ve gerçek IP adresini kaydeder.
Dosya hırsızlığı. Tüm dosyalar, <iframedoc> özniteliği içeren bir metin belgesine eklenebilir. Bu sayede kötü niyetli metin dosyası kurbanın bilgisayarındaki herhangi bir dosyaya erişebilir ve sonrasında bir şekillendirme saldırısı kullanarak içeriğini transfer edebilir. Kullanıcının yalnızca dosyayı açması yeterli olacaktır.
Güvenlik açığı, Aralık 2019’da Apple’a bildirildi ve CVE-2019-8761 ile numaralandırıldı. Paulos Yibello’nun gönderisinde, güvenlik açığından yararlanılmasına ilişkin daha fazla bilgi mevcut.
Güvenliğinizi nasıl sağlayabilirsiniz?
Yayınlanan bir 2020 güncellemesi, CVE-2019-8761 güvenlik açığını kapattı yalnız bu, programda TXT hakkında gizli kalmış hataların olmadığını garanti etmez. Henüz kimsenin nasıl faydalanılacağını çözemediği diğer açıklar da olabilir. O yüzden, “Bu metin dosyası güvenilir mi?” sorusunun doğru yanıtı şu şekilde bir şeydir: “Evet, şimdilik güvenilir. Ama yine de tetikte olun.”
Bu nedenle, zararsız bir metin dosyası gibi görünse bile her bir dosyayı potansiyel bir tehdit olarak ele almaları için bütün çalışanları eğitmenizi tavsiye ediyoruz.
Her şeye rağmen, şirketin bütün dışarı giden bilgi akışının denetiminü dahili ya da harici SOC‘ye vermek mantıklıdır.
Kurduğum onca mail serverlar sonucunda ücretiz olarak en stabil şekilde ve kolay yönetilebilirlik konusunda Zimba Mail Server gönlümde taht kurdu. Centos 7 üzerine Zimbra 8.8.15 nasıl kurulacağını anlatacağım
Gazeteciler çağlar için tersine çevrilmiş piramit yazı stilini kullanıyorlar. Bunu kullanarak, en önemli bilgilerinizi ön tarafa koyuyorsunuz. Hedge etme. Anahtar noktanızı üçüncü paragrafın yarısına kadar gömmeyin.Geri tutma; ilk paragrafta tam hikayeyi anlat.