-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

500 milionów użytkowników WinRARa zagrożonych luką zero-day?

30 września 2015, 17:51 | Aktualności | komentarzy 10

Zgodnie z informacjami udostępnionymi na Full Disclosure i powtarzanymi na rozmaitych portalach, wszystkie wersje bardzo popularnego WinRARa są podatne na trywialny do przygotowania i przeprowadzenia atak z wykorzystaniem archiwum typu SFX.

Zgodnie z informacjami samego producenta, popularnego programu służącego przede wszystkim do kompresowania/dekompresowania plików używa na całym świecie około 500 milionów użytkowników. Każdy z nich jest obecnie rzekomo narażony na atak zero-day (producent nie udostępnił jeszcze załatanej wersji) z wykorzystaniem złośliwego archiwum SFX (archiwum samorozpakowujące).

Wykonanie złośliwego kodu następuje w momencie otwarcia specjalnie spreparowanego archiwum SFX. Przygotowanie ataku jest trywialne i zostało szczegółowo opisane. Tak wygląda przykładowy scenariusz wykorzystania podatności.

Po chwili zastanowienia można jednak dojść do wniosku, że opisywane zagrożenie jest znacznie przesadzone. Mówi się o zdalnym wykonaniu kodu (remote code execution), podczas gdy do udanego ataku potrzebna jest przecież interakcja z użytkownikiem docelowego systemu…winrar

Poza tym atak jest możliwy do wykonania wyłącznie za pomocą archiwum SFX. Archiwum tego typu jest natomiast najzwyklejszym na świecie programem wykonywalnym. Podsumowując, udany atak wymaga tego, by użytkownik uruchomił plik wykonywalny nieznanego pochodzenia.

Czy jest to rzeczywiście podatność w programie WinRAR? Jeśli użytkownik bez zastanowienia uruchomi program nieznanego pochodzenia, to raczej on sam jest źródłem podatności. Tego samego zdania jest autor znanego programu, który wprost mówi, że nawet nie widzi potrzeby łatania czegokolwiek…

It is useless to search for supposed vulnerabilities in SFX module or to fix such vulnerabilities, because as any exe file, SFX archive is potentially dangerous for user computer by design.

Mamy więc kolejny przykład tego, że niektórzy badacze w poszukiwaniu rozgłosu są skłonni do ogromnej przesady w ocenie poszczególnych zagrożeń…

— Wojciech Smol

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Mateusz

    Proszę o wyjaśnienie jednej rzeczy: to rzekome zagrożenie pojawia się w sytuacji, gdy ktoś uruchomi samorozpakowujące się archiwum exe. No to jakie to zagrożenie? Skoro ktoś i tak uruchamia plik exe to przecież ten plik może zawierać dowolny kod i zrobić dowolną rzecz w systemie. A zaprezentowany błąd umożliwia jedynie nieco łatwiejsze (niż modyfikacja instrukcji w pliku binarnym) podrzucenie innego kodu…

    Odpowiedz
    • Rzecz w tym, że nie trzeba uruchamiać tego pliku. Trzeba tylko spróbować go otworzyć jako archiwum.

      Odpowiedz
  2. sadas

    jak widze ikone sfx to zmieniam roserzenie z exe na rar, taki nawyk

    Odpowiedz
    • Zdzich

      … a jak klikam PPM i wybieram z menu” 7-zip \ Otwórz archiwum

      Odpowiedz
    • ziutek

      Nie rozumiem. Po co zmieniasz?

      Odpowiedz
  3. Nicki

    Ciekawą rzecz zauważycie jeżeli w stworzycie plik SFX ze słowem Update w nazwie w dowolnym miejscu i uruchomicie to na Windows 7.

    Odpowiedz
  4. Radek

    Kto kupił licencję niech pierwszy rzuci kamień… ;)

    Odpowiedz
    • Filip

      Po co licencja jak jest 7zip?

      Odpowiedz
    • Pasta do zębów

      …jak wygram w totka to może kupię… ;) [było kiedyś na bashu]

      Odpowiedz
  5. imagi
    Odpowiedz

Odpowiedz