WinRAR obsahuje chybu, ohrožuje až půl miliardy uživatelů

Logickou chybu a zranitelnost v populární komprimovací aplikaci WinRAR, kterou lze jednoduše zneužít obyčejným rozbalením souboru, odhalili pomocí fuzzeru WinAFL experti výzkumného týmu Check Point Research.

WinRAR obsahuje chybu, ohrožuje až půl miliardy uživatelů


Překvapivě chyba existovala více než 19 let a přinutila společnost WinRAR skončit s podporou zranitelného formátu. Výzkumníci z týmu Check Point Research navíc objevili malware, který využívá tuto zranitelnost.

Útok začne v okamžiku, kdy uživatel rozbalí soubor pomocí WinRARu. Soubor vypadá jako rbxm, což je 3D model pro Roblox, populární herní on-line platformu. Ale kromě 3D modelu je v archivu ukryt i JS soubor, který stáhne a spustí škodlivý soubor.

Před několika měsíci vytvořil tým Check Point Research multiprocesorovou fuzzing laboratoř a začal testovat prostředí Windows pomocí fuzzeru WinAFL. Po zajímavých výsledcích z testování Adobe začali výzkumníci testovat fuzzerem také WinRAR.

Jeden z problémů vyvolaných fuzzerem ukázal na starší DLL knihovnu, která byla vytvořena v roce 2006 bez ochranného mechanismu (jako jsou ASLR, DEP atd.) a využívá ji právě WinRAR.

Vědci proto zaměřili fuzzer na toto DLL a hledali chybu, která by vedla ke vzdálenému spuštění kódu. Fuzzer odhalil podivné chování a další analýzou se našla logická chyba.

Potom už bylo relativně jednoduché zranitelnost zneužít pro vzdálené spuštění kódu, což by v rukou kyberútočníků mohla být nebezpečná zbraň a jak ukazuje i příklad objeveného malwaru, stále se jedná o hrozbu, je proto nutné vždy používat aktuální verze softwaru a nepodceňovat zabezpečení.

Zajímavostí je, že za nalezení podobné chyby byla vypsána odměna v programu pro hledání zranitelností. WinRAR se v důsledku testu rozhodl skončit s podporou formátu ACE.

Úvodní foto: © maninblack - Fotolia.com










Komentáře