Может ли обычная обработка снимков превратиться в заражение системы вредоносным софтом? Даже если речь идет о Mac, который до сих пор пользуется репутацией защищенной платформы? Как показала практика, это вполне реально, если вы используете непропатченную сборку утилиты ExifTool или любого софта, построенного на её базе
Эта популярная программа с открытым кодом, предназначенная для работы с метаданными (чтение, правка, сохранение), широко востребована среди фотографов, работников фотохранилищ, специалистов по анализу данных и криминалистике, а также журналистов-расследователей.
Специалисты обнаружили в этом инструменте брешь. Проблема возникает при открытии специально сформированного графического файла (скажем, PNG), в мета-поле которого встроены командные строки. Когда ExifTool под управлением macOS начинает разбирать такой файл, эти команды активируются, позволяя злоумышленнику выполнить нужные ему операции — например, загрузить и активировать троян с удаленного хоста.
Что представляет собой ExifTool
Это бесплатный инструмент с открытым исходным кодом, который занимается узкой, но крайне востребованной задачей: вытаскивает метаданные из файлов и дает возможность манипулировать ими. Метаданные — это «приданое» файла, встроенное в большинство современных цифровых форматов. Для аудиофайлов это имя исполнителя, трека, жанр; для фото — дата, место съемки, параметры камеры (ISO, выдержка); для офисных документов — автор, время правок и создания. Среди аналогичных программ ExifTool выделяется широчайшим охватом форматов, из которых он умеет извлекать «мету», а также точностью и гибкостью в работе с ней. Типичные сценарии использования:
- Корректировка даты съемки в «сырых» (RAW) файлах;
- Копирование метаданных из одного типа файла в другой (например, из JPEG в PNG);
- Извлечение превью из специфических профессиональных форматов (3FR, CR3, ARW);
- Работа с метками специализированного оборудования (медицинские снимки DICOM, фото тепловизоров FLIR);
- Автоматическое переименование файлов по фактической дате съемки;
- Привязка географических координат к фото на основе треков GPS-логгера.
ExifTool существует как самостоятельное приложение и как библиотека, что позволяет использовать его внутри других программ. Например, его код задействован в системах каталогизации фото вроде Exif Photoworker, пакетных конвертерах ImageIngester и аналитических платформах MetaScope. В крупных корпорациях и исследовательских центрах обработка изображений через ExifTool нередко полностью автоматизирована.
Механизм срабатывания уязвимости
Для проведения атаки злоумышленнику необходимо создать специальный файл с изображением. Визуально картинка может быть совершенно обычной, но в её метаданные, а именно в поле даты и времени съемки (DateTimeOriginal), вписывается некорректное значение. Вместе с датой туда же помещается вредоносный системный код. Из-за ошибки в логике программы этот код выполняется при одновременном соблюдении двух факторов:
- ExifTool функционирует в среде macOS;
- Активирован режим -n (также известный как --printConv). Данный режим отключает «очеловечивание» данных, оставляя их в «сыром», машиночитаемом виде. Именно это отключение конвертации позволяет вредоносной команде сработать.
Гипотетическая, но вполне реалистичная схема целевой атаки выглядит так: в организацию (лаборатория, редакция, юридическая фирма) поступает внешний файл, представляющий операционный интерес. Это может быть скан документа, сенсационное фото или иск. Входящие файлы проходят через систему управления цифровыми активами (Digital Asset Management) для учета и сортировки. Если в цепочке обработки задействована библиотека ExifTool (автоматически или вручную), то при разборе даты снимка система выполняет скрытую команду. Итогом становится заражение машины вредоносом, который может выкачать базы данных, документы или переписку. Сам факт атаки может остаться незамеченным, так как изображение не вызывает подозрений и открывается без ошибок.
Методы защиты от угрозы
Обнаружив проблему, исследователи оперативно уведомили о ней разработчика программы. Ответ не заставил себя ждать — вышла обновленная версия 13.50, в которой брешь закрыта. Все предыдущие сборки (13.49 и старше) попадают в группу риска и требуют немедленного апдейта.
Крайне важно проверить, что обновление коснулось не только основной программы, но и всех зависимых приложений и скриптов. Необходимо убедиться, что программы для управления фотоархивами и любые пользовательские сценарии обработки на Mac используют актуальную версию ExifTool, а не содержат устаревшую копию библиотеки внутри себя. Учитывая, что подобные уязвимости могут существовать и в других компонентах, для повышения уровня безопасности рекомендуется:
- Обрабатывать «подозрительные» файлы в изоляции. Запуск непроверенных изображений лучше производить на отдельном ПК или в виртуальной машине, исключив её доступ к корпоративным данным и сетевым папкам.
- Следить за безопасностью Open Source-компонентов. Компаниям, чьи бизнес-процессы зависят от open source-библиотек, стоит обратить внимание на специализированные ленты данных об угрозах (Open Source Software Threats Data Feed).
И последнее: если вы привлекаете внештатных сотрудников или разрешаете персоналу использовать личные MacBook для работы, допускайте эти устройства к внутренним ресурсам только при условии наличия на них современных защитных решений.