Domov      Nastavenia 
RSS English Slovensky

Foreign Sources
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Aktívne zneužívaná 19-ročná kritická zraniteľnosť vo WinRARe

19.03.2019
V aplikácii na kompresiu dát WinRAR bola opravená kritická zraniteľnosť umožňujúca útočníkom vzdialene vykonávať kód. Zraniteľné sú všetky verzie vydané za posledných 19 rokov pred opravnou aktualizáciou 5.70 beta 1. V prvom týždni po zverejnení zraniteľnosti bolo zaznamenaných vyše 100 rôznych kampaní, v ktorých bola zneužívaná. Nakoľko WinRAR nepodporuje automatické aktualizácie, používatelia si musia novú verziu nainštalovať manuálne.

 

Dôsledky

  • Vykonávanie škodlivého kódu
  • Prevzatie kontroly nad systémom používateľa

Opis činnosti
CVE-2018-20250

Bezpečnostný výskumník Nadav Grossman zo spoločnosti Check Point objavil kritickú zraniteľnosť v obľúbenej aplikácii na kompresiu dát WinRAR, s ktorou pracuje pol miliardy používateľov. Ovplyvňuje všetky predchádzajúce verzie pred opravnou aktualizáciou 5.70 beta 1, vydané počas 19 rokov. Zraniteľnosť CVE-2018-20250 je aktívne zneužívaná a umožňuje traverzovanie absolútnej cesty, čo môže viesť ku vzdialenému vykonávaniu kódu a prevzatiu plnej kontroly nad zariadením obete. Nachádza sa v UNACEV2.DLL knižnici a útočník vďaka nej dokáže extrahovať komprimovaný spustiteľný súbor z archívu ACE do spúšťacieho priečinka Windows Startup. Škodlivý súbor sa automaticky spustí pri nasledujúcom reštartovaní operačného systému. Jediné čo musia útočníci vykonať, je presvedčiť používateľa, aby tento škodlivý súbor používatelia otvorili pomocou zraniteľnej verzie programu WinRAR. Na to začali hneď po vydaní funkčnej ukážky zneužiteľnosti zraniteľnosti využívať spamovú kampaň šíriacu malvér.

Výskumníci zo spoločnosti McAfee informovali o vyše 100 rôznych exploitoch, využitých v prvý týždeň po zverejnení zraniteľnosti. Jedným príkladom je archív Ariana_Grande-thank_u,_next(2019)_[320].rar, ktorý okrem extrahovania neškodných MP3 súborov do počítača používateľa extrahuje škodlivý .EXE súbor do zložky Startup, navrhnutý na infikovanie systému. Pritom obchádza kontrolu User Access Control (UAC), teda používateľovi sa nezobrazí žiadna výstraha a pri ďalšom reštartovaní sa malware vykoná.

Nakoľko zdrojový kód knižnice UNACEV2.DLL sa stratil, oprava zraniteľnosti spočívala v odstránení podpory pre ACE archívy z WinRAR. V prípade potreby podpory týchto archívov je však riešenie dostupné v podobe mikrozáplaty od spoločnosti ACROS Security cez platformu 0Patch. V prípade pokusu o rozbalenie infikovaného archívu tak program používateľovi zobrazí niekoľko varovaní.

Zraniteľné systémy
WinRAR, všetky verzie pred 5.70 beta 1
Systémy používajúce archív ACE

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania
Vzhľadom na aktívne zneužívanie sa odporúča aktualizovať WinRAR aspoň na verziu 5.70 beta 1 a vyhýbať sa otváraniu súborov z nedôveryhodných zdrojov.

Odkazy
https://www.bleepingcomputer.com/news/security/over-100-exploits-found-for-19-year-old-winrar-rce-bug/
https://www.bleepingcomputer.com/news/security/19-year-old-winrar-rce-vulnerability-gets-micropatch-which-keeps-ace-support/
https://thehackernews.com/2019/03/winrar-hacking-malware.html



<< zoznam oznámení