Mitarbeiter, die mit externen E-Mails arbeiten, werden in der Regel darüber informiert, welche Dateien möglicherweise gefährlich sein könnten. EXE-Dateien werden beispielsweise standardmäßig als gefährlich eingestuft. Zu den potenziellen Schaddateien zählen auch DOCX- und XLSX-Dateien, da sie bösartige Makros enthalten können. Textdateien dagegen werden allgemein als harmlos betrachtet, weil sie nichts anderes als Klartext enthalten können. Allerdings ist zu beachten, dass das nicht immer der Fall ist.
Forscher haben eine Methode gefunden, um eine Schwachstelle (für die inzwischen ein Patch entwickelt wurde) in diesem Format auszunutzen und möglicherweise gibt es noch mehr. In diesem Fall ist auch nicht das Dateiformat das Problem, sondern die Art und Weise, wie Programme mit TXT-Dateien umgehen.
Die Schwachstelle CVE-2019-8761 bei macOS
Der Sicherheitsforscher Paulos Yibelo entdeckte eine kuriose Methode für den Angriff mithilfe verfremdeter Textdateien auf macOS-Computer. Wie viele andere Schutzlösungen, bewertet auch die eingebaute macOS-Sicherheitsfunktion Gatekeeper Textdateien als vertrauenswürdig. Die Benutzer können diese Dateien herunterladen und dann mit dem eingebauten Textbearbeitungsprogramm TextEdit ohne weitere Überprüfungen öffnen.
Allerdings ist TextEdit etwas ausgefeilter als der Notepad von Microsoft Windows. Der Texteditor von Apple kann u. a. fett gedruckte Texte anzeigen und die Benutzer können die Schriftfarbe ändern. Da das TXT-Format nicht dazu entwickelt wurde, um Stilinformationen zu speichern, übernimmt das Programm zur korrekten Ausführung der Aufgabe zusätzliche technische Informationen. Wenn beispielsweise eine Datei mit <!DOCTYPE HTML><htm> <head></head><body> beginnt, dann arbeitet TextEdit mit den HTML-Tags, obwohl es sich um eine Datei mit der Erweiterung .txt handelt.
Im Wesentlichen bedeutet das, dass wenn HTML-Code in einer Textdatei geschrieben wird, die mit dieser Zeile beginnt, TextEdit dazu zwingt den Code oder – zumindest einen Teil davon – auszuführen.
Mögliche Angriffe mittels verfremdeter Textdatei
Nachdem Yibelo alle Möglichkeiten überprüft hatte, die einem Hacker, der diese Methode verwendet, hypothetisch zur Verfügung stehen, fand er heraus, dass diese Schwachstelle folgende Angriffe ermöglicht:
- DoS-Angriffe. Gatekeeper hindert Objekte mit einer .txt Erweiterung nicht daran lokale Dateien zu öffnen. Aus diesem Grund kann das Öffnen einer verfremdeten, bzw. bösartigen Textdatei einen Computer überladen, indem beispielsweise mittels HTML-Code Zugriff auf die Datei /dev/zero, eine unerschöpfliche Quelle für Null-Bits, erhalten wird.
- Identifizierung der IP-Adresse eines Benutzers. Code in Textdateien kann AutoFS aufrufen, ein Standardprogramm zum Einhängen nach Bedarf von festgelegten Verzeichnissen, das auch Zugriff auf ein externes Laufwerk gewähren kann. Auch wenn diese Aktion an sich harmlos ist, weil der Automounting-Vorgang den Kernel des Betriebs dazu zwingt eine TCP-Anfrage zu verschicken, kann der Ersteller der bösartigen Textdatei den genauen Zeitpunkt, an dem die Datei geöffnet wurde und die genaue IP-Adresse herausfinden, selbst wenn die Kommunikation zwischen dem lokalen Client und dem Webserver mit einem Proxy Server abgesichert ist.
- Diebstahl von Dateien. Ganze Dateien können in ein Textdokument eingefügt werden, das ein Attribut enthält. Deshalb kann die bösartige Textdatei im Computer des Opfers auf jegliche Datei zugreifen und die Inhalte mittels Dangling-Markup-Angriff transferieren. Dafür reicht es aus, wenn der Benutzer die verfremdete Textdatei öffnet.
Apple wurde im Dezember 2019 über diese Schwachstelle informiert, der folgende CVE-Nummer zugewiesen wurde: CVE-2019-8761. Im Blogbeitrag von Paulos Yibelo finden Sie weitere Informationen zu möglichen Exploits dieser Schwachstelle.
So können Sie sich schützen
2020 wurde ein Update mit einem Patch für die Sicherheitslücke CVE-2019-8761 veröffentlicht, aber das ist noch längst kein Garant dafür, dass keine weiteren Bugs in Verbindung mit TXT in der Software auf der Lauer liegen. Möglicherweise gibt es mehr Bugs dieser Art, die – bisher – noch nicht entdeckt wurden. Dementsprechend lautet die richtige Antwort auf die Frage: „Ist diese Textdatei sicher?“, in etwa: „Bis jetzt ja, aber seien Sie wachsam.“
Aus diesem Grund empfehlen wir alle Mitarbeiter darin zu schulen, jegliche Datei als mögliche Bedrohung zu betrachten, auch wenn es sich nur um eine scheinbar harmlose Textdatei handelt.
Darüber hinaus ist es sinnvoll die Kontrolle über alle ausgehende Informationsflüsse an ein internes oder externes Security Operations Center (SOC) zu übergeben.