Los empleados que reciben correos electrónicos externos comúnmente reciben información sobre los archivos que podrían representar un peligro. Por ejemplo, los archivos con extensión .exe, por naturaleza, no se consideran seguros, así como los archivos .docx y .xlsx, que pueden incluir macros maliciosos. Por otro lado, los archivos de texto, en general se consideran inofensivos, ya que, debido a su diseño, no pueden incluir nada más que texto simple. Pero no siempre es así.
Unos investigadores han descubierto una forma de explotar una vulnerabilidad (ya parcheada) en dicho formato y podrían encontrar más. En realidad, el formato de archivo no es el problema; el problema es la forma en la que los programas gestionan estos archivos.
Vulnerabilidad CVE-2019-8761 para macOS
El investigador Paulos Yibelo ha destacado una forma curiosa de atacar los ordenadores con macOS mediante archivos de texto. Así como muchas otras soluciones de protección, el sistema de seguridad integrado de macOS, Gatekeeper, clasifica los archivos de texto como completamente fiables. Los usuarios pueden descargarlos y abrirlos con el editor integrado TextEdit sin verificaciones adicionales.
Sin embargo, TextEdit es algo más sofisticado que el Bloc de notas de Microsoft Windows. Incluye más funciones, como mostrar el texto en negritas, permitir que los usuarios cambien el color de la fuente, etc. Debido a que el formato .txt no está diseñado para almacenar información de estilo, TextEdit asume la información técnica adicional para poder ejecutar la tarea. Por ejemplo, si un archivo empieza con la línea <!DOCTYPE HTML><html><head></head><body>, TextEdit procesa las etiquetas HTML, incluso en un archivo con una extensión .txt.
En resumen, si se escribe un código HTML en un archivo de texto que inicia con esta línea, TextEdit está obligado a procesar el código, o al menos algunos de sus elementos.
Los ataques mediante los archivos de texto existen
Después de una examinación detallada de todas las posibilidades que un atacante potencial tiene a su disposición mediante este método, Yibelo descubrió que la vulnerabilidad permite:
- Los ataques de DoS. Gatekeeper no evita que se abran archivos locales desde un objeto con la extensión .txt. Por lo tanto, abrir un archivo de texto malicioso puede sobrecargar un ordenador, por ejemplo, con el código HTML para acceder al archivo /dev/zero, una fuente infinita de caracteres nulos.
- La identificación de la auténtica dirección IP de un usuario. El código en el archivo de texto puede llamar a AutoFS, un programa estándar para montar sistemas de archivo, lo que puede proporcionar acceso a un disco externo. Si bien está acción por sí misma es inofensiva, dado que el proceso de montaje automático obliga al núcleo del sistema a enviar una solicitud de protocolo de control de transmisión (TCP por sus siglas en inglés), aunque el usuario esté detrás de un servidor proxy, el creador del archivo del texto malicioso puede averiguar el momento exacto en qué se abrió y registrar la dirección IP real.
- El robo de archivos. Es posible insertar archivos completos dentro de un documento de texto que contenga el atributo <iframedoc>. Por lo tanto, el archivo de texto malicioso puede obtener acceso a cualquier archivo del ordenador de la víctima y después transferir su contenido mediante un ataque de tipo dangling markup. Solo se necesita que el usuario abra el archivo.
Esta vulnerabilidad se notificó a Apple en diciembre del 2019 y se le asignó el número CVE-2019-8761. En su publicación, Paulos Yibelo proporciona más información sobre la explotación de la vulnerabilidad.
Cómo mantenerse a salvo
Una actualización del 2020 parcheó la vulnerabilidad CVE-2019-8761, pero esto no garantiza que los bugs relacionados con .txt no acechen en el software. También podría haber otras que nadie ha averiguado aún cómo explotar. Entonces, la respuesta correcta a la pregunta “¿Este archivo de texto es seguro?” sería: “Sí, por ahora. Pero mantente alerta”.
Por lo tanto, te recomendamos formar a todos los empleados para que traten cualquier archivo como una amenaza potencial, incluso aunque parezca un archivo de texto inofensivo.
En cualquier caso, es sensato pasar el control de todos los flujos de información de salida a un SOC externo o interno.