Um arquivo de vídeo pode conter um vírus?

Arquivos de vídeo geralmente não são considerados tipos de arquivos potencialmente maliciosos ou infectados, mas é possível que malware seja incorporado ou disfarçado como um arquivo de vídeo. Devido a esse equívoco comum, arquivos de áudio e vídeo são vetores de ameaças interessantes para criadores de malware.



VEJA TAMBÉM: Upload de Arquivos: 10 práticas recomendadas para prevenir ataques cibernéticos


Por que a preocupação com arquivos de vídeo?


  • Os players de mídia são softwares usados ​​com frequência, os usuários tendem a usá-los por um longo período de tempo, deixando-os abertos durante outras tarefas e alternando frequentemente os fluxos de mídia.

  • Muitas vulnerabilidades são encontradas em players de mídia. NIST mostra mais de 1.200 vulnerabilidades de 2000 a 2014. No início de 2020, o NIST registrou uma nova vulnerabilidade de alta gravidade, CVE-2020-0002, no Android Media Framework.

  • Conteúdo de vídeo atraente e internet de alta velocidade levam os usuários a baixar e compartilhar sem prestar atenção e, como esses arquivos são percebidos como relativamente inofensivos, é provável que os usuários reproduzam os arquivos fornecidos a eles.

  • Os formatos de arquivo envolvidos são fluxos binários e tendem a ser razoavelmente complexos. Muita análise é necessária para manipulá-los, e cálculos de reprodução podem facilmente resultar em bugs.

  • O arquivo geralmente é grande; é provável que os usuários ignorem as soluções de varredura para evitar o impacto no desempenho.

  • Eles são percebidos como relativamente inofensivos - os usuários provavelmente reproduzirão os arquivos dados a eles.

  • Há uma grande variedade de players de áudio diferentes e muitos codecs e plugins, todos escritos por pessoas geralmente não focadas em segurança.

  • Os usuários baixam vídeos de muitas fontes não confiáveis ​​e os vídeos são executados com privilégio e prioridade bastante altos.

  • Os vídeos são frequentemente tocados sem o reconhecimento explícito do usuário (ou seja, incorporados em uma página da web).


Vetores de Vulnerabilidade


Fuzzing o player de mídia com um arquivo de vídeo modificado


Fuzzing é um método genérico para forçar um programa a se comportar de forma inesperada, oferecendo dados inválidos ou aleatórios para as entradas.



Fuzzing é projetado para encontrar bugs profundos e é usado por desenvolvedores para garantir a robustez do código, no entanto, a melhor ferramenta de um desenvolvedor pode ser usada para explorar o usuário também. Para players de mídia, que são supostamente "estrito de formato", um arquivo de vídeo real corrompido pode expor muitos bugs, a maioria causada por ponteiros nulos desreferenciados. Isso resulta em acesso inadequado à memória, o que oferece a possibilidade de escrever na memória algo que não se destina a ser escrito.


Incorporar hiperlinks em um arquivo de vídeo


Um método mais direto é a incorporação de uma URL em arquivos de mídia modernos.


Por exemplo, o Microsoft Advanced System Format (ASF) permite que comandos de script simples sejam executados. Neste caso, "URLANDEXIT" é colocado em um endereço específico e seguindo qualquer URL. Quando esse código é executado, o usuário é direcionado a baixar um arquivo executável, muitas vezes disfarçado de codec e solicitando que o usuário faça o download para reproduzir a mídia.



O MetaDefender Cloud, a ferramenta de varredura multimalware do OPSWAT, tem um exemplo de um desses arquivos: https://metadefender.opswat.com/results#!/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information.


O nome da ameaça é "GetCodec". Neste exemplo, o media player foi redirecionado para um link para baixar um trojan. Veja o trojan escaneado aqui.


VEJA TAMBÉM: OPSWAT adquire SNDBOX, solução líder no mercado de análise de malware


Exemplos de explorações de Tipo de Arquivo


Abaixo está uma tabela listando os formatos populares de arquivos de mídia que foram explorados para encaminhar o usuário para sites maliciosos ou executar códigos arbitrários remotamente nos sistemas.

​Formato de arquivo

Detecção

Descrição

Windows

.wma/.wmv​

​Downloader-UA.b

Explora falha no gerenciamento de direitos digitais

Real Media

.rmvb​

W32/Realor.worm

Infecta arquivos Real Media para incorporar links para sites maliciosos

Mídia real

.rm/.rmvb

Feito por humanos

Inicia páginas da web maliciosas sem avisar

​QucikTime.mov

Feito por humanos

Lança hiperlinks incorporados para sites pornográficos

​Adobe Flash.swf

Exploit-CVE-2007-0071

Vulnerabilidade na tag DefineSceneAndFrameLabelData

Windows.asf

W32/GetCodec.worm

Infecta arquivos .asf para incorporar links para páginas da Web maliciosas

Adobe Flash.swf

Exploit-SWF.c

Vulnerabilidade no opcode "nova função" do AVM2​

QuickTime.mov

Feito por humanos

Executa código arbitrário no sistema do usuário alvo​

Adobe Flash.swf

Exploit-CVE-2010-2885

Vulnerabilidade na ActionScript Virtual Machine 2

Adobe Flash.swf

Exploit-CVE2010-3654

Vulnerabilidade na classe de botão AVM2 MultiName

Windows .wmv

Exploit CVE-2013-3127​

Vulnerabilidade de execução remota de código do decodificador de vídeo WMV

Matroska Video .mkv

Exploit-CVE2019-14438

Vulnerabilidade no VLC, executa código arbitrário com privilégios no sistema do usuário alvo​


Soluções



Muitos fornecedores de antimalware agora adicionaram detecção procurando as assinaturas de URL dentro dos arquivos de tipo de mídia. A tecnologia OPSWAT MetaDefender Multiscanning utiliza mais de 35 mecanismos antimalware e melhora significativamente a detecção de ameaças conhecidas e desconhecidas. O Deep CDR também suporta formatos de arquivo de vídeo e áudio e pode ajudar a prevenir ataques Zero Day. A tecnologia de avaliação de vulnerabilidade baseada em arquivo do MetaDefender pode detectar vulnerabilidades em instaladores de media player antes de serem instalados.


Se você não possui as soluções OPSWAT, precisa prestar mais atenção aos arquivos de mídia, não visualizar arquivos não confiáveis, nunca executar players de mídia com privilégios elevados e não aceitar downloads de codecs desconhecidos ou licenças estranhas. Mantenha sempre o software do seu media player atualizado para evitar vulnerabilidades.


Fonte: OPSWAT

 

Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado.

Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.

607 visualizações

Posts recentes

Ver tudo

Newsletter

Confira notícias, informações e tendências do setor de tecnologia da informação. 

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos