Arquivos de vídeo geralmente não são considerados tipos de arquivos potencialmente maliciosos ou infectados, mas é possível que malware seja incorporado ou disfarçado como um arquivo de vídeo. Devido a esse equívoco comum, arquivos de áudio e vídeo são vetores de ameaças interessantes para criadores de malware.
Por que a preocupação com arquivos de vídeo?
Os players de mídia são softwares usados com frequência, os usuários tendem a usá-los por um longo período de tempo, deixando-os abertos durante outras tarefas e alternando frequentemente os fluxos de mídia.
Muitas vulnerabilidades são encontradas em players de mídia. NIST mostra mais de 1.200 vulnerabilidades de 2000 a 2014. No início de 2020, o NIST registrou uma nova vulnerabilidade de alta gravidade, CVE-2020-0002, no Android Media Framework.
Conteúdo de vídeo atraente e internet de alta velocidade levam os usuários a baixar e compartilhar sem prestar atenção e, como esses arquivos são percebidos como relativamente inofensivos, é provável que os usuários reproduzam os arquivos fornecidos a eles.
Os formatos de arquivo envolvidos são fluxos binários e tendem a ser razoavelmente complexos. Muita análise é necessária para manipulá-los, e cálculos de reprodução podem facilmente resultar em bugs.
O arquivo geralmente é grande; é provável que os usuários ignorem as soluções de varredura para evitar o impacto no desempenho.
Eles são percebidos como relativamente inofensivos - os usuários provavelmente reproduzirão os arquivos dados a eles.
Há uma grande variedade de players de áudio diferentes e muitos codecs e plugins, todos escritos por pessoas geralmente não focadas em segurança.
Os usuários baixam vídeos de muitas fontes não confiáveis e os vídeos são executados com privilégio e prioridade bastante altos.
Os vídeos são frequentemente tocados sem o reconhecimento explícito do usuário (ou seja, incorporados em uma página da web).
Vetores de Vulnerabilidade
Fuzzing o player de mídia com um arquivo de vídeo modificado
Fuzzing é um método genérico para forçar um programa a se comportar de forma inesperada, oferecendo dados inválidos ou aleatórios para as entradas.
Fuzzing é projetado para encontrar bugs profundos e é usado por desenvolvedores para garantir a robustez do código, no entanto, a melhor ferramenta de um desenvolvedor pode ser usada para explorar o usuário também. Para players de mídia, que são supostamente "estrito de formato", um arquivo de vídeo real corrompido pode expor muitos bugs, a maioria causada por ponteiros nulos desreferenciados. Isso resulta em acesso inadequado à memória, o que oferece a possibilidade de escrever na memória algo que não se destina a ser escrito.
Incorporar hiperlinks em um arquivo de vídeo
Um método mais direto é a incorporação de uma URL em arquivos de mídia modernos.
Por exemplo, o Microsoft Advanced System Format (ASF) permite que comandos de script simples sejam executados. Neste caso, "URLANDEXIT" é colocado em um endereço específico e seguindo qualquer URL. Quando esse código é executado, o usuário é direcionado a baixar um arquivo executável, muitas vezes disfarçado de codec e solicitando que o usuário faça o download para reproduzir a mídia.
O MetaDefender Cloud, a ferramenta de varredura multimalware do OPSWAT, tem um exemplo de um desses arquivos: https://metadefender.opswat.com/results#!/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information.
O nome da ameaça é "GetCodec". Neste exemplo, o media player foi redirecionado para um link para baixar um trojan. Veja o trojan escaneado aqui.
Exemplos de explorações de Tipo de Arquivo
Abaixo está uma tabela listando os formatos populares de arquivos de mídia que foram explorados para encaminhar o usuário para sites maliciosos ou executar códigos arbitrários remotamente nos sistemas.
Formato de arquivo | Detecção | Descrição |
Windows .wma/.wmv | Downloader-UA.b | Explora falha no gerenciamento de direitos digitais |
Real Media .rmvb | W32/Realor.worm | Infecta arquivos Real Media para incorporar links para sites maliciosos |
Mídia real .rm/.rmvb | Feito por humanos | Inicia páginas da web maliciosas sem avisar |
QucikTime.mov | Feito por humanos | Lança hiperlinks incorporados para sites pornográficos |
Adobe Flash.swf | Exploit-CVE-2007-0071 | Vulnerabilidade na tag DefineSceneAndFrameLabelData |
Windows.asf | W32/GetCodec.worm | Infecta arquivos .asf para incorporar links para páginas da Web maliciosas |
Adobe Flash.swf | Exploit-SWF.c | Vulnerabilidade no opcode "nova função" do AVM2 |
QuickTime.mov | Feito por humanos | Executa código arbitrário no sistema do usuário alvo |
Adobe Flash.swf | Exploit-CVE-2010-2885 | Vulnerabilidade na ActionScript Virtual Machine 2 |
Adobe Flash.swf | Exploit-CVE2010-3654 | Vulnerabilidade na classe de botão AVM2 MultiName |
Windows .wmv | Exploit CVE-2013-3127 | Vulnerabilidade de execução remota de código do decodificador de vídeo WMV |
Matroska Video .mkv | Exploit-CVE2019-14438 | Vulnerabilidade no VLC, executa código arbitrário com privilégios no sistema do usuário alvo |
Soluções
Muitos fornecedores de antimalware agora adicionaram detecção procurando as assinaturas de URL dentro dos arquivos de tipo de mídia. A tecnologia OPSWAT MetaDefender Multiscanning utiliza mais de 35 mecanismos antimalware e melhora significativamente a detecção de ameaças conhecidas e desconhecidas. O Deep CDR também suporta formatos de arquivo de vídeo e áudio e pode ajudar a prevenir ataques Zero Day. A tecnologia de avaliação de vulnerabilidade baseada em arquivo do MetaDefender pode detectar vulnerabilidades em instaladores de media player antes de serem instalados.
Se você não possui as soluções OPSWAT, precisa prestar mais atenção aos arquivos de mídia, não visualizar arquivos não confiáveis, nunca executar players de mídia com privilégios elevados e não aceitar downloads de codecs desconhecidos ou licenças estranhas. Mantenha sempre o software do seu media player atualizado para evitar vulnerabilidades.
Fonte: OPSWAT
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
