Un collègue m'a envoyé un fichier .xml plus tôt dans la journée, qui a été bloqué par Outlook. Alors que nous discutions de la solution de contournement (mettez-la dans un .Zip), nous nous sommes demandé pourquoi .xml les fichiers sont bloqués.
Mon collègue estime que c'est parce que le navigateur est le moteur de rendu par défaut des fichiers .xml et qu'il y a peut-être un vecteur d'attaque en passant un fichier html avec une extension xml, mais j'ai essayé cela sur Firefox et l'arborescence du document est montrée comme un fichier xml nu.
Quelqu'un at-il des exemples où un fichier xml pourrait être ajouté en tant que pièce jointe pour faire quelque chose de malveillant (ou au moins, plus que toute autre pièce jointe aléatoire qui n'est pas bloquée)?
Les attaques basées sur XML possibles sont:
file:///etc/passwd
)La réussite de l'une de ces attaques dépend de l'analyseur XML installé sur la machine locale. Je pense que des applications comme les nouvelles versions d'IE, Firefox, etc. protègent contre ces derniers, mais les versions plus anciennes ou certains logiciels personnalisés peuvent être vulnérables.
Un attaquant peut utiliser un fichier XML pour des raisons néfastes et, comme vous l'avez demandé si quelque chose de semblable s'est produit par le passé, il y a eu des exemples de tels fichiers XML joints par le passé.
En fait, l'attaque que je vais mentionner est récente et a eu lieu à la fin de Februaru 2015 où les entreprises reçoivent un spam avec un fichier XML malveillant joint:
Cette pièce jointe est un document XML Microsoft Word; Microsoft a un gestionnaire spécial pour les fichiers XML qui choisira l'application pour les gérer en fonction de la détection du contenu, comme décrit ici , donc double-cliquer dessus peut entraîner l'exécution de MS Word et donc charger le macros malveillantes intégrées. Voici un diagramme montrant comment le document malveillant a été stocké:
S'ils bloquent le HTML, il est également logique de bloquer le XML car il peut être transformé à l'aide de XSLT en XHTML (la transformation est prise en charge par tous les navigateurs récents passant le test Acid3), ce qui est à peu près (en particulier en termes de sécurité) comme le HTML normal.