Defesa em 2 Camadas: Controle MIME Types (glide.ui.attachment_download_mime_types) Blindar Instância

Defesa em Duas Camadas: Usando glide.ui.attachment_download_mime_types para Blindar a Instância e os Usuários

 

O Guardião dos Downloads – Por Que Controlar o MIME Type de Anexos Protege Seu Endpoint

 

1. Introdução: O Anexo Como Vetor de Ataque

 

O gerenciamento de anexos na ServiceNow possui duas camadas críticas de segurança: o controle de upload (o que pode entrar na plataforma) e o controle de download (o que pode sair e ser executado na máquina do usuário).

 

Embora a maioria das organizações se concentre em bloquear a entrada de arquivos perigosos (como executáveis), o controle do download é uma camada de defesa essencial, especialmente contra ameaças que evoluíram, como o Cross-Site Scripting (XSS) através de arquivos HTML ou a exploração de tipos de arquivo não tradicionais.

 

A propriedade glide.ui.attachment_download_mime_types é a chave mestra para essa defesa. Ela permite que administradores definam exatamente quais tipos de MIME (identificadores de formato de arquivo) são permitidos para download na interface de usuário.

 

2. O Risco de Confiar Apenas no Antivírus

 

Muitos confiam apenas no Antivírus (AV) embutido da ServiceNow. No entanto, o AV não protege contra todos os vetores de ataque:

• XSS via HTML: Arquivos .html ou .htm, mesmo que não contenham código malicioso no servidor, podem ser vetores de XSS se o navegador do usuário for induzido a executá-los incorretamente.

• Ameaças Zero-Day: Arquivos maliciosos que ainda não são reconhecidos por assinaturas de AV podem ser baixados e executados.

• Vazamento de Informação: Tipos de arquivo incomuns podem ser criados por um atacante com o intuito de camuflar um payload malicioso ou para tentar enganar filtros.

Ao definir uma lista estrita de MIME types permitidos para download, você impede que arquivos com formatos não listados cheguem ao endpoint do usuário.

 

3. Funcionamento e Configuração da Propriedade

 

A propriedade glide.ui.attachment_download_mime_types funciona com um princípio de Lista de Permissões (Allow List): Tudo que não está explicitamente listado é bloqueado.

O valor desta propriedade deve ser uma lista de MIME types separados por vírgula.

Configuração	Descrição	Exemplo de Valores
Princípio	Lista de Permissões (Allow List). Apenas os tipos listados podem ser baixados.	application/pdf, image/jpeg, text/plain
Ação	Se o anexo for de um tipo não listado (Ex: application/x-sh ou application/x-msdownload), o download é bloqueado.	(Bloqueia scripts de shell, executáveis e tipos raros)
Melhor Prática	Mantenha a lista o mais restritiva possível, incluindo apenas os tipos de arquivo essenciais para o negócio.

Importante: Esta propriedade complementa (mas não substitui) as propriedades de upload (glide.attachment.blacklist ou glide.attachment.extensions). É uma camada de segurança extra na saída do dado.

 

4. Conformidade e o Security Center (SSC)

 

A correta configuração do controle de MIME types de download é um requisito de segurança não negociável para qualquer instância bem fortificada.

• SSC Hardening Score: O ServiceNow Security Center (SSC) verifica se esta propriedade está ativa e configurada de forma segura. Um valor ausente ou incorretamente configurado resultará em uma não-conformidade em seu Hardening Score.

• Governança de Risco: Ao resolver este item, você demonstra que sua organização está exercendo governança rigorosa sobre o tráfego de dados binários, mitigando o risco de vetores de ataque conhecidos e desconhecidos.

 

Como Configurar a Propriedade

Para configurar essa propriedade, siga os passos abaixo:

Acesse a Administração de Propriedades:

Vá para System Properties > All Properties no menu de navegação do ServiceNow.

 

Localize a Propriedade:

• Procure pela propriedade glide.ui.attachment.download_mime_types.

Press enter or click to view image in full size

 

para editar esta propriedade precisa elevar as roles com o security_admin

Press enter or click to view image in full size

 

Tipo MIME:

Edite os Tipos MIME:

• O tipo MIME (Multipurpose Internet Mail Extensions) é um padrão que indica a natureza e o formato de um arquivo. Insira os tipos MIME que você deseja permitir. Por exemplo, se você quiser permitir apenas arquivos PDF e imagens JPEG, você deve configurar a propriedade como: application/pdf,image/jpeg

Por exemplo:

• image/jpeg para imagens JPEG
• application/pdf para documentos PDF
• text/plain para arquivos de texto simples
• Segurança: Ao permitir certos tipos de arquivos, sempre considere os riscos de segurança associados. Certifique-se de que somente os formatos desejados e seguros estão habilitados para download.
• Manutenção: Mantenha qualidade constante nas configurações e revise periodicamente os tipos de arquivos permitidos.

If “glide.ui.attachment.download_mime_types” does include dangerous items such as “text/html,image/svg,image/svg+xml,application/xml”, then dangerous files could be rendered inline in the browser which could lead to Cross Site Scripting attacks (XSS). This property is the list of comma separated attachment mime types which will not render inline in the browser. For example, including text/html will force html files to be downloaded to the client as attachments rather than viewed inline in the browser. Maintaining this list properly will prevent cross site scripting attacks.

Se “glide.ui.attachment.download_mime_types” incluir itens perigosos, como “text/html,image/svg,image/svg+xml,application/xml”, então arquivos perigosos podem ser renderizados diretamente no navegador, o que pode levar a ataques de Cross Site Scripting (XSS). Essa propriedade é a lista de tipos MIME de anexos separados por vírgula que não serão renderizados diretamente no navegador. Por exemplo, incluir text/html forçará arquivos HTML a serem baixados para o cliente como anexos, em vez de serem visualizados diretamente no navegador. Manter essa lista adequadamente ajudará a prevenir ataques de cross site scripting.

Recommendation/Recomendação:

Set property ‘glide.ui.attachment.force_download_all_mime_types’ to true.

glide.ui.attachment.force_download_all_mime_types

Recommendation:

Set property ‘glide.ui.attachment.download_mime_types’ to “text/html,image/svg,image/svg+xml,application/xml”. Note : This requires ‘security_admin’ role to edit the property.

 

5. Conclusão: Priorizando a Defesa do Endpoint

 

A propriedade glide.ui.attachment_download_mime_types permite que os administradores definam uma política de segurança na saída dos dados.

 

Ao estabelecer uma lista de permissões estrita para downloads, você não apenas protege a integridade da sua instância ServiceNow, mas também estende essa proteção para os dispositivos dos seus usuários, neutralizando a capacidade de malware e scripts perigosos chegarem a seus endpoints.

 

Manter essa e outras propriedades de anexo rigorosamente configuradas é fundamental para alcançar um Hardening Score de excelência no SSC e garantir uma postura de segurança proativa.

 

 

onitoramento.

 

 

• ServiceNow Releases.
• ServiceNow History.
• Summary.
• SSC — O Guia Definitivo para Blindar Sua Instância e Atingir a Conformidade. / Medium.

 

 

 

• https://www.youtube.com/@servicenowbr/
• https://www.facebook.com/groups/servicenowbrasil
• https://www.servicenow.com/community/brazil-snug/tkb-p/snug-br-brazil-tkb-board
• https://www.linkedin.com/groups/5134493/
• https://www.servicenow.com/community/user/viewprofilepage/user-id/73505
• https://github.com/Tiagomacul/
• https://www.tiktok.com/@servicenowbr
• https://open.spotify.com/show/1Qa4xVz7xXnKM9y9wggfT9
• https://www.linkedin.com/in/tiagomacul/
• https://www.linkedin.com/company/now-bridge/