WinRAR obsahuje chybu, ohrožuje až půl miliardy uživatelů

1. 3. 2019

Sdílet

 Autor: © maninblack - Fotolia.com
Logickou chybu a zranitelnost v populární komprimovací aplikaci WinRAR, kterou lze jednoduše zneužít obyčejným rozbalením souboru, odhalili pomocí fuzzeru WinAFL experti výzkumného týmu Check Point Research.

Překvapivě chyba existovala více než 19 let a přinutila společnost WinRAR skončit s podporou zranitelného formátu. Výzkumníci z týmu Check Point Research navíc objevili malware, který využívá tuto zranitelnost.

Útok začne v okamžiku, kdy uživatel rozbalí soubor pomocí WinRARu. Soubor vypadá jako rbxm, což je 3D model pro Roblox, populární herní on-line platformu. Ale kromě 3D modelu je v archivu ukryt i JS soubor, který stáhne a spustí škodlivý soubor.

Před několika měsíci vytvořil tým Check Point Research multiprocesorovou fuzzing laboratoř a začal testovat prostředí Windows pomocí fuzzeru WinAFL. Po zajímavých výsledcích z testování Adobe začali výzkumníci testovat fuzzerem také WinRAR.

Jeden z problémů vyvolaných fuzzerem ukázal na starší DLL knihovnu, která byla vytvořena v roce 2006 bez ochranného mechanismu (jako jsou ASLR, DEP atd.) a využívá ji právě WinRAR.

Vědci proto zaměřili fuzzer na toto DLL a hledali chybu, která by vedla ke vzdálenému spuštění kódu. Fuzzer odhalil podivné chování a další analýzou se našla logická chyba.

ICTS24

Potom už bylo relativně jednoduché zranitelnost zneužít pro vzdálené spuštění kódu, což by v rukou kyberútočníků mohla být nebezpečná zbraň a jak ukazuje i příklad objeveného malwaru, stále se jedná o hrozbu, je proto nutné vždy používat aktuální verze softwaru a nepodceňovat zabezpečení.

Zajímavostí je, že za nalezení podobné chyby byla vypsána odměna v programu pro hledání zranitelností. WinRAR se v důsledku testu rozhodl skončit s podporou formátu ACE.