Schwachstellen

Sind Textdateien sicher?

TXT-Dateien werden in der Regel als sicher eingestuft. Aber stimmt das wirklich?

Hugh Aver
13 Apr 2021

Mitarbeiter, die mit externen E-Mails arbeiten, werden in der Regel darüber informiert, welche Dateien möglicherweise gefährlich sein könnten. EXE-Dateien werden beispielsweise standardmäßig als gefährlich eingestuft. Zu den potenziellen Schaddateien zählen auch DOCX- und XLSX-Dateien, da sie bösartige Makros enthalten können. Textdateien dagegen werden allgemein als harmlos betrachtet, weil sie nichts anderes als Klartext enthalten können. Allerdings ist zu beachten, dass das nicht immer der Fall ist.

Forscher haben eine Methode gefunden, um eine Schwachstelle (für die inzwischen ein Patch entwickelt wurde) in diesem Format auszunutzen und möglicherweise gibt es noch mehr. In diesem Fall ist auch nicht das Dateiformat das Problem, sondern die Art und Weise, wie Programme mit TXT-Dateien umgehen.

Die Schwachstelle CVE-2019-8761 bei macOS

Der Sicherheitsforscher Paulos Yibelo entdeckte eine kuriose Methode für den Angriff mithilfe verfremdeter Textdateien auf macOS-Computer. Wie viele andere Schutzlösungen, bewertet auch die eingebaute macOS-Sicherheitsfunktion Gatekeeper Textdateien als vertrauenswürdig. Die Benutzer können diese Dateien herunterladen und dann mit dem eingebauten Textbearbeitungsprogramm TextEdit ohne weitere Überprüfungen öffnen.

Allerdings ist TextEdit etwas ausgefeilter als der Notepad von Microsoft Windows. Der Texteditor von Apple kann u. a. fett gedruckte Texte anzeigen und die Benutzer können die Schriftfarbe ändern. Da das TXT-Format nicht dazu entwickelt wurde, um Stilinformationen zu speichern, übernimmt das Programm zur korrekten Ausführung der Aufgabe zusätzliche technische Informationen. Wenn beispielsweise eine Datei mit <!DOCTYPE HTML><htm> <head></head><body> beginnt, dann arbeitet TextEdit mit den HTML-Tags, obwohl es sich um eine Datei mit der Erweiterung .txt handelt.

Im Wesentlichen bedeutet das, dass wenn HTML-Code in einer Textdatei geschrieben wird, die mit dieser Zeile beginnt, TextEdit dazu zwingt den Code oder – zumindest einen Teil davon – auszuführen.

Mögliche Angriffe mittels verfremdeter Textdatei

Nachdem Yibelo alle Möglichkeiten überprüft hatte, die einem Hacker, der diese Methode verwendet, hypothetisch zur Verfügung stehen, fand er heraus, dass diese Schwachstelle folgende Angriffe ermöglicht:

DoS-Angriffe. Gatekeeper hindert Objekte mit einer .txt Erweiterung nicht daran lokale Dateien zu öffnen. Aus diesem Grund kann das Öffnen einer verfremdeten, bzw. bösartigen Textdatei einen Computer überladen, indem beispielsweise mittels HTML-Code Zugriff auf die Datei /dev/zero, eine unerschöpfliche Quelle für Null-Bits, erhalten wird.
Identifizierung der IP-Adresse eines Benutzers. Code in Textdateien kann AutoFS aufrufen, ein Standardprogramm zum Einhängen nach Bedarf von festgelegten Verzeichnissen, das auch Zugriff auf ein externes Laufwerk gewähren kann. Auch wenn diese Aktion an sich harmlos ist, weil der Automounting-Vorgang den Kernel des Betriebs dazu zwingt eine TCP-Anfrage zu verschicken, kann der Ersteller der bösartigen Textdatei den genauen Zeitpunkt, an dem die Datei geöffnet wurde und die genaue IP-Adresse herausfinden, selbst wenn die Kommunikation zwischen dem lokalen Client und dem Webserver mit einem Proxy Server abgesichert ist.
Diebstahl von Dateien. Ganze Dateien können in ein Textdokument eingefügt werden, das ein Attribut enthält. Deshalb kann die bösartige Textdatei im Computer des Opfers auf jegliche Datei zugreifen und die Inhalte mittels Dangling-Markup-Angriff transferieren. Dafür reicht es aus, wenn der Benutzer die verfremdete Textdatei öffnet.

Apple wurde im Dezember 2019 über diese Schwachstelle informiert, der folgende CVE-Nummer zugewiesen wurde: CVE-2019-8761. Im Blogbeitrag von Paulos Yibelo finden Sie weitere Informationen zu möglichen Exploits dieser Schwachstelle.

So können Sie sich schützen

2020 wurde ein Update mit einem Patch für die Sicherheitslücke CVE-2019-8761 veröffentlicht, aber das ist noch längst kein Garant dafür, dass keine weiteren Bugs in Verbindung mit TXT in der Software auf der Lauer liegen. Möglicherweise gibt es mehr Bugs dieser Art, die – bisher – noch nicht entdeckt wurden. Dementsprechend lautet die richtige Antwort auf die Frage: „Ist diese Textdatei sicher?“, in etwa: „Bis jetzt ja, aber seien Sie wachsam.“

Aus diesem Grund empfehlen wir alle Mitarbeiter darin zu schulen, jegliche Datei als mögliche Bedrohung zu betrachten, auch wenn es sich nur um eine scheinbar harmlose Textdatei handelt.

Darüber hinaus ist es sinnvoll die Kontrolle über alle ausgehende Informationsflüsse an ein internes oder externes Security Operations Center (SOC) zu übergeben.

Kryptobetrug mit Screenshots in Lightshot

Betrüger haben in Lightshot eine Falle für gierige Kryptowährung-Anleger aufgestellt.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Sind Textdateien sicher?

Die Schwachstelle CVE-2019-8761 bei macOS

Mögliche Angriffe mittels verfremdeter Textdatei

So können Sie sich schützen

KeyTrap: Wie man einen DNS-Server mit einem einzigen Paket knacken kann

Hacken von Android, macOS, iOS und Linux über eine Bluetooth-Schwachstelle

Kryptobetrug mit Screenshots in Lightshot

Tipps

Einrichten von Shortcuts und Siri in Kaspersky für iOS

Vergiss Recall nicht, denn Recall vergisst dich bestimmt nicht

Der Mythos des Inkognito-Modus: So funktioniert privates Surfen wirklich

1,3 Millionen versuchte Cyberangriffe auf Kinder

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie