MOV-Dateien - Schadcode möglich?

[mabu]

Hallo.

Ich habe in 2022 schon einmal eine Frage zu MOV-Dateien gestellt. Anscheinend hatte es sich zwischenzeitlich gelöst oder es kam dann nicht mehr so häufig vor.

Wir erhalten von Arztpraxen oder Dienstleistern im Bereich der Hilfsmittelversorgung (wenn ich das gerade schreibe, muss ich mal Datenschutz ausblenden ) teilweise Videos per Mail zugeschickt (alternativ schicken Sachbearbeiter von uns Mail mit Antwortlink, so dass Portalupload möglich ist). Und bei MOV-Dateien scheint dies häufiger schief zu gehen. Habe da zumindest aktuell einen solchen Fall mitgeteilt bekommen.

Im Inhaltsfilter ist im Bereich Video AVI, MPEG und MPEG4-Video erlaubt. Diese MOV-Datei wird aber im Dateityp als "Allgemeine Binärdatei" erkannt und dies ist nicht erlaubt. Anhang wird somit entfernt. Im Portal geht es daher natürlich auch nicht. Eingrenzen auf bestimmte Partner kann ich es ja auch nicht, da Absender vorher nie klar ist.

Ich würde nun im Inhaltsfilter ganz gerne einen Eintrag für "Dateiname *.mov" erstellen. Aber mit welcher Aktion?

1. Reicht die Prüfung auf der GW-Rolle alleine aus, so dass ich mov-Dateien direkt annehme?
2. Annehmen und dabei über Sandbox nur auf Hashwert prüfen?
3. Annehmen, die Datei in Sandbox auf Haswert prüfen und wenn unbekannt in die Sandbox hochladen? Videos können aber auch mal größer als 50MB sein (max Sandbox-Größe)

Bin mir nicht sicher, ob hier gezielt eine manipulierte MOV-Datei Probleme bereiten könnte. Daher die Frage, wie Ihr das einstellen würdet.

Bin gespannt.

 

[Sören]

1. Reicht die Prüfung auf der GW-Rolle alleine aus, so dass ich mov-Dateien direkt annehme?
2. Annehmen und dabei über Sandbox nur auf Hashwert prüfen?
3. Annehmen, die Datei in Sandbox auf Haswert prüfen und wenn unbekannt in die Sandbox hochladen? Videos können aber auch mal größer als 50MB sein (max Sandbox-Größe)

Also in die Sandbox brauchst du das nicht zu senden, eine Sandbox kann auch nur Standard Dateien untersuchen, mov zählt meines Wissens nach nicht dazu

Selbst Win 11 öffnet MOV nicht ohne weiteres:



Ein Risko durch MOV Files ist mir nicht bekannt, und selbst wenn der Mime Type EXE wäre und die Endung MOV, würde Windows "ganz artig" versuchen das im Videoplayer zu öffnen.

Da ja noch immer unsere AV Engine läuft, würde ich aus dem Bauch heraus sagen, der erste Punkt reicht aus. Aber dann musst du deinen Windows Usern noch immer die HEVC Erweiterung kaufen oder VLC (oder dergleichen) deployen. Letzteres würde ich auch keinen Fall machen, da VLC durch "Subtitles" schon die eine oder andere Lücke hatte.

Bin ja selbst Apple User, aber dieses MOV Zeug ist einfach Mist

 

[mabu]

Danke Dir für die Infos.

Bei uns wird es dann ja in Citrix-Umgebung genutzt und anscheinend ist da irgendeine Anwendung da, die die MOV-Datei öffnen kann.