Jak jistě víte, existují v kódovacích tabulkách znaků, také znaky se zvláštním významem, kterým říkáme řídící nebo také bílé znaky. Těmito znaky jsou například LF(Line Feed) s kódem #10 pro odřádkování, znak s kódem #08 pro backspace nebo znak s kódem #09 pro tabulátor. Existují ovšem také znakové sady například Unicode (UTF-8), které slouží k vyjádření velkého množství znaků, aby pokryly abecedy různých národů. Mimochodem mezi těmito národy najdeme dokonce takové "exoty", kteří píší opačným směrem (zprava-doleva) a proto kódování Unicode najdeme také speciální bílé znaky, které definují právě směr psaní následujícího textu. Bílý znak, který je zodpovědný za text psaný zprava do leva (Right-To-Left Override) nalezneme pod kódem 0x202E.
Jak ale této skutečnosti může útočník využít během útoku ke zmatení uživatele, jež by mohlo vést k instalaci malware na jeho počítač? Představte si nějaký spustitelný soubor, který vám chce útočník podstrčit. Mohlo by se jednat o přitažlivý název například Sexy_Girl.exe. Takovýto soubor ale asi jen málokdo spustí. Uživatelé jsou přeci jen již vycvičeni k jisté disciplíně a na spustitelné soubory si dávají veliký pozor. Ovšem ruku na srdce... pokud by se jednalo o soubor s názvem Sexy_Girl_Alexe.jpg, asi byste s jeho otevřením příliš neotáleli.
Když se podíváte na posledních sedm znaků uvedeného názvu, zjistíte, že se jedná o řetězec exe.jpg. A co kdyby právě tento řetězec byl napsán opačným směrem, zprava doleva? Ano, právě toto je princip Unitrix exploitu. Stačí, pokud útočník do názvu souboru vloží výše uvedený bílý znak 0x202E a váš počítač zobrazí znaky po něm následující v opačném pořadí. Vyhodnocovat je bude ale v pořadí obráceném. Pro získání uvedeného názvu Sexy_Girl_Alexe.jpg, který bude ve skutečnosti náležet spustitelnému exe souboru, stačí tedy soubor uložit pod jménem Sexy_Girl_Al0x202Egpj.exe.
Pokud vás zajímá, jakým způsobem je možné tento znak do názvu souboru vložit, vězte, že je to velice jednoduché. Zůstaneme na platformě Windows, které se tento typ útoků týká (uživatele Linuxu nějaké přípony souborů trápit nemusí) a ukážeme si jak na to.
V operačních systémech Windows Vista a Windows 7 je postup skutečně jednoduchý. Při editaci názvu souboru stačí stisknout pravé myšítko a z kontextového menu vybrat volbu Vložit řídící znak Unicode. Z následující nabídky pak vyberem konkrétní řídící znak, kterým je v našem případě RLO.
V případě Windows XP je situace poněkud komplikovanější, protože tento systém nemá implicitně nainstalovánu podporu Unicode. Budeme-li tedy chtít postupovat stejným způsobem jako u vyšších verzí Windows, budeme muset tuto podporu nejprve doinstalovat. Druhou stranou mince ovšem je, že v případě, kdy tuto podporu Unicode nainstalovánu nemáme, se nás podobné útoky netýkají, protože systém nedokáže vložený znak interpretovat. Teprve ve chvíli, kdy tuto podporu doinstalujeme, stávají se naše XP zranitelnými. Postup instalace je následující:
I když se jedná o útok poprvé zveřejněný již v roce 2009, stále se s ním některé webové prohlížeče jako Internet Explorer nebo Safari dostatečně nevypořádaly a nedokáží uživatele vhodně ochránit. V případě Firefoxu, Opery a víceméně i Chrome je situace opačná, protože uživatel vidí skutečnou příponu stahovného souboru. Zkoušel jsem také zasílat nakažený soubor mailem a výsledek je takový, že Thunderbird a MS Outlook zobrazí soubor jako exe. Přikládám několik screenshotů:
Na závěr pro úplnost ještě odkaz na paper, který se podrobně touto a dalšími metodami spoofování za pomoci Unicode znaku Right-To-Left Override zabývá.
Pokud si chcete výše uvedenou metodu ověřit v praxi, následuje ještě malá ukázka toho, jak by mohl reálný útok vypadat v praxi.