Sebuah kertas penyelidikan baharu telah mendedahkan kelemahan keselamatan yang meluas dalam ZIP file parsers yang boleh membenarkan penyerang memintas sistem keselamatan dan mengubah fail yang telah ditandatangani. Kajian ini, yang dijalankan menggunakan differential fuzzer yang dipanggil ZipDiff , menguji 50 ZIP parsers yang berbeza merentasi 19 bahasa pengaturcaraan dan mendapati bahawa hampir semua pasangan parsers terdedah kepada kekaburan parsing tertentu.
Punca masalah ini terletak pada spesifikasi format fail ZIP itu sendiri, yang ditakrifkan secara tidak tepat. Ini mewujudkan jurang semantik antara pelaksanaan yang berbeza yang boleh dieksploitasi oleh penyerang. Walaupun kelemahan individu jenis ini telah dilaporkan sebelum ini, ini mewakili kajian sistematik pertama mengenai ketidakkonsistenan ZIP parsing .
Skop Penyelidikan:
- 50 pengurai ZIP diuji merentasi 19 bahasa pengaturcaraan
- 14 jenis kekaburan penghuraian yang berbeza dikenal pasti (10 ditemui baru-baru ini)
- 5 senario serangan dunia sebenar ditunjukkan
- 3 CVE diberikan ( Go , LibreOffice , Spring Boot )
- Ganjaran bounty diterima daripada Gmail , Coremail , dan Zoho
Senario Serangan Dunia Sebenar Ditunjukkan
Para penyelidik berjaya menunjukkan lima senario serangan praktikal yang mengeksploitasi perbezaan parsing ini. Ini termasuk memintas secure email gateways , menyamar kandungan dokumen pejabat, menyamar sebagai sambungan VS Code , dan mengubah fail JAR yang ditandatangani sambil masih lulus pengesahan tandatangan Spring Boot .
Walau bagaimanapun, beberapa pakar keselamatan dalam komuniti telah menyatakan bahawa walaupun penyelidikan ini berharga, banyak daripada penemuan praktikal mungkin mempunyai kesan dunia sebenar yang terhad. Serangan sering memerlukan penyerang untuk meyakinkan sasaran memuat fail yang dikawal oleh penyerang, dan banyak sistem keselamatan yang boleh dipintas sudah mempunyai kelemahan lain yang diketahui.
Kategori Serangan yang Didemonstrasikan:
- Memintas gateway e-mel selamat
- Memalsukan kandungan dokumen pejabat
- Menyamar sebagai sambungan VS Code
- Memanipulasi fail JAR bertingkat yang telah ditandatangani
- Mengalahkan pengimbas antivirus dan pengesan plagiarisme
Konteks Sejarah dan Kelemahan Serupa
Jenis kelemahan ini tidak sepenuhnya baharu. Kelemahan Android Master Key yang ditemui bertahun-tahun lalu mengeksploitasi perbezaan ZIP parsing yang serupa. Ahli komuniti juga telah menunjukkan bahawa serangan yang setanding telah wujud untuk format fail lain, dengan seorang menyatakan bahawa serangan pembezaan yang serupa pernah membenarkan imej PNG memaparkan kandungan yang berbeza sepenuhnya merentasi pelayar web yang berbeza.
Penyelidikan ini dibina atas sejarah panjang serangan pembezaan parser , di mana sistem keselamatan pada titik yang berbeza dalam rangkaian atau application stack mentafsir fail yang sama secara berbeza, mewujudkan peluang untuk eksploitasi.
Respons Industri dan Usaha Mitigasi
Para penyelidik secara bertanggungjawab mendedahkan penemuan mereka kepada vendor yang terjejas dan menerima maklum balas positif, termasuk ganjaran bounty daripada Gmail , Coremail , dan Zoho . Tiga CVE telah diberikan untuk kelemahan yang ditemui dalam Go , LibreOffice , dan Spring Boot . Kertas ini juga mencadangkan tujuh strategi mitigasi untuk menangani kekaburan ini.
Jika semua orang mempunyai parser yang sama, keseluruhan kelas bugs hanya berhenti boleh dieksploitasi. Yang klasik ialah satu parser di pinggir mengesahkan sesuatu dan yang lebih jauh di bawah barisan melihat hasil lain yang dijangka ditolak semasa pengesahan.
Sesetengah dalam komuniti keselamatan mencadangkan bahawa menggunakan pelaksanaan parser yang konsisten boleh membantu mengurangkan kelemahan ini, walaupun yang lain berhujah ini boleh mewujudkan risiko baharu dengan menumpukan permukaan serangan. Isu asas kekal bahawa spesifikasi format ZIP itu sendiri memerlukan takrifan yang lebih baik dan ujian kesesuaian untuk mencegah kekaburan ini daripada berlaku pada mulanya.
Penyelidikan ini menyerlahkan cabaran berterusan dalam keselamatan format fail dan kepentingan penyelidikan kelemahan sistematik dalam mengenal pasti isu meluas yang mungkin tidak disedari sebaliknya.
Rujukan: My ZIP isn't your ZIP: Identifying and Exploiting Semantic Gaps Between ZIP Parsers