Zraniteľnosť WinRAR umožňuje vykonávať kód

5. novembra 2021

Výskumníci spoločnosti Positive Technologies odhalili zraniteľnosť obľúbeného archivátora WinRAR. Dovoľujeodchytávať a upravovať požiadavky, ktoré aplikácia posiela používateľovi. Po splnení istých podmienok ju môžu útočníci zneužiť na vzdialené vykonávanie kódu na zariadení obete. Spoločnosť WinRAR chybu opravila v júli tohto roka.

Opis činnosti:

CVE-2021-35052

Výskumníci spoločnosti Positive Technologies objavili zraniteľnosť v staršej skúšobnej verzii softvéru WinRAR 5.7. Chybové hlásenie archivátoru, na ktoré náhodne narazili po skončení skúšobnej doby svojej inštancie, sa zobrazilo pri každom treťom spustení aplikácie. Výskumníci analýzou zistili, že chybové hlásenie využíva knižnicu mshtml.dll a otvára ho vykresľovací nástroj aplikácie Internet Explorer. Potenciálny útočník nachádzajúci sa v rovnakej sieti ako zariadenie so zraniteľnou verziou WinRAR by mohol zachytiť sieťovú komunikáciu softvéru WinRAR smerujúcu na oficiálnu stránku spoločnosti „notifier.rarlab.com“ a presmerovať ju na podvrhnutú doménu. WinRAR bez validácie presmeruje odpovede na útočníkom podvrhnutú webstránku. Po úspešnom presmerovaní komunikácie a vytvorení komunikačného kanála medzi útočníkom a zraniteľným softvérom pomocou metódy ARP spoofing získa útočník možnosť útočiť formou „Man-In-The-Middle“.

Väčšinou pri otvorení neznámeho súboru systém zobrazuje bezpečnostné varovanie pred spustením a vyžaduje od používateľa potvrdenie. Útočník teda potrebuje presvedčiť obeť, aby povolila spustenie súboru, a tak mu umožnila vykonať vzdialene kód. Toto však môže útočník obísť, ak sa rozhodne na diaľku spúšťať súbory s formátmi DOCX, PDF, PY, alebo RAR.

Vzhľadom na to, že sa jedná o shareware, je predpoklad že staré verzie WinRAR sú pomerne rozšírené. Zraniteľnosť CVE-2021-35052 preto predstavuje aj v súčasnosti reálnu hrozbu.

Zraniteľné systémy:

WinRAR verzia 5.7

Závažnosť zraniteľnosti: Vysoká

Možné škody: