Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
500 milionów użytkowników WinRARa zagrożonych luką zero-day?
Zgodnie z informacjami udostępnionymi na Full Disclosure i powtarzanymi na rozmaitych portalach, wszystkie wersje bardzo popularnego WinRARa są podatne na trywialny do przygotowania i przeprowadzenia atak z wykorzystaniem archiwum typu SFX.
Zgodnie z informacjami samego producenta, popularnego programu służącego przede wszystkim do kompresowania/dekompresowania plików używa na całym świecie około 500 milionów użytkowników. Każdy z nich jest obecnie rzekomo narażony na atak zero-day (producent nie udostępnił jeszcze załatanej wersji) z wykorzystaniem złośliwego archiwum SFX (archiwum samorozpakowujące).
Wykonanie złośliwego kodu następuje w momencie otwarcia specjalnie spreparowanego archiwum SFX. Przygotowanie ataku jest trywialne i zostało szczegółowo opisane. Tak wygląda przykładowy scenariusz wykorzystania podatności.
Po chwili zastanowienia można jednak dojść do wniosku, że opisywane zagrożenie jest znacznie przesadzone. Mówi się o zdalnym wykonaniu kodu (remote code execution), podczas gdy do udanego ataku potrzebna jest przecież interakcja z użytkownikiem docelowego systemu…
Poza tym atak jest możliwy do wykonania wyłącznie za pomocą archiwum SFX. Archiwum tego typu jest natomiast najzwyklejszym na świecie programem wykonywalnym. Podsumowując, udany atak wymaga tego, by użytkownik uruchomił plik wykonywalny nieznanego pochodzenia.
Czy jest to rzeczywiście podatność w programie WinRAR? Jeśli użytkownik bez zastanowienia uruchomi program nieznanego pochodzenia, to raczej on sam jest źródłem podatności. Tego samego zdania jest autor znanego programu, który wprost mówi, że nawet nie widzi potrzeby łatania czegokolwiek…
It is useless to search for supposed vulnerabilities in SFX module or to fix such vulnerabilities, because as any exe file, SFX archive is potentially dangerous for user computer by design.
Mamy więc kolejny przykład tego, że niektórzy badacze w poszukiwaniu rozgłosu są skłonni do ogromnej przesady w ocenie poszczególnych zagrożeń…
— Wojciech Smol
Proszę o wyjaśnienie jednej rzeczy: to rzekome zagrożenie pojawia się w sytuacji, gdy ktoś uruchomi samorozpakowujące się archiwum exe. No to jakie to zagrożenie? Skoro ktoś i tak uruchamia plik exe to przecież ten plik może zawierać dowolny kod i zrobić dowolną rzecz w systemie. A zaprezentowany błąd umożliwia jedynie nieco łatwiejsze (niż modyfikacja instrukcji w pliku binarnym) podrzucenie innego kodu…
Rzecz w tym, że nie trzeba uruchamiać tego pliku. Trzeba tylko spróbować go otworzyć jako archiwum.
jak widze ikone sfx to zmieniam roserzenie z exe na rar, taki nawyk
… a jak klikam PPM i wybieram z menu” 7-zip \ Otwórz archiwum
Nie rozumiem. Po co zmieniasz?
Ciekawą rzecz zauważycie jeżeli w stworzycie plik SFX ze słowem Update w nazwie w dowolnym miejscu i uruchomicie to na Windows 7.
Kto kupił licencję niech pierwszy rzuci kamień… ;)
Po co licencja jak jest 7zip?
…jak wygram w totka to może kupię… ;) [było kiedyś na bashu]
Podobne do: MS07-052: Code execution results in code execution.
http://blogs.msdn.com/b/oldnewthing/archive/2007/08/07/4268706.aspx
;)