19 letnia podatność w WinRar – rozpakowujesz archiwum i masz zainfekowany komputer

Podatność w WinRar (dokładniej mamy ich w sumie aż cztery: CVE-2018-20250, CVE-2018-20251, CVE-2018-20252, CVE-2018-20253)  umożliwia wypakowanie pliku z archiwum do dowolnego miejsca na systemie plików. Np. wypakowanie złośliwego pliku exe do katalogu autostartu w Windows (malware odpali się  za każdym razem po restarcie systemu). Jak pisze Checkpoint:

Akcja na filmie poniżej – na pulpit mamy wypakowany mało podejrzany plik .txt, a w autostarcie ląduje malware:

Exploit jest dość prosty – trzeba tylko przygotować plik w formacie ACE (jest on domyślnie wspierany przez WinRar), dla niepoznaki zmienić mu rozszerzenie na .rar a w samym archiwum ustawić spakowanemu plikowi ścieżkę na:

C:\C:\some_folder\some_file.ext

Tak, podwójny C:\ to nie pomyłka:

rar

Jest też mały bonus, bo można rozpakować rara do zdalnego share-a (SMB):

C:\\\10.10.10.10\smb_folder_name\some_folder\some_file.ext => \\10.10.10.10\smb_folder_name\some_folder\some_file.ext

Twórcy WinRar załatali podatność…usuwając obsługę formatu ACE (który był dostępny w WinRar od 2005 roku):

Aforementioned vulnerability makes possible to create files
in arbitrary folders inside or outside of destination folder
when unpacking ACE archives.

WinRAR used this third party library to unpack ACE archives.
UNACEV2.DLL had not been updated since 2005 and we do not have access
to its source code. So we decided to drop ACE archive format support
to protect security of WinRAR users.

Korzystajcie więc co najmniej z wersji 5.70 beta1

–ms