Новости Уязвимость в WinRAR позволяла хакерам запускать произвольный код при открытии RAR-архивов

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
В известном архиваторе WinRAR обнаружена уязвимость, которая отслеживается под номером — ей присвоен рейтинг 7,8 из 10 (высокий).


Заранее уведомлённые о проблеме разработчики уже исправили ошибку в программе, и в версии WinRAR 6.23 уязвимость уже закрыта.


Проект перечисляет следующие тезисы, связанные с уязвимостью старых версий WinRAR:

  • уязвимость позволяла злоумышленникам выполнять произвольный код;
  • механизм её работы был связан с обработкой восстановления томов;
  • приложение некорректно проверяло пользовательские данные;
  • в результате вредоносное ПО получало доступ за пределами выделенного буфера памяти;
  • для эксплуатации уязвимости необходимо было заставить пользователя самостоятельно запустить специально созданный вредоносный архив RAR.
Проблему выявил исследователь кибербезопасности под ником goodbyeselene. Он сообщил о своём открытии разработчикам WinRAR в начале июня. Исправленная версия WinRAR 6.23, не содержащая уязвимости, вышла 2 августа, а информация о проблеме оглашена 17 августа — у пользователей было достаточно времени для обновления программы.

Ранее программа «Проводник» в составе предварительной версии Windows 11 формата RAR. Она была реализована при помощи открытой библиотеки libarchive, которая также поддерживает форматы LHA, PAX, TAR, TGZ и 7Z. Возможность распаковки в стабильной версии системы появится в сентябре, а создание архивов станет доступным лишь в следующем году.

Разработчиков WinRAR это известие, кажется, не напугало: специализированный архиватор предлагает более широкий набор параметров, чем интегрированная функция в файловом менеджере.

 
А как то можно защититься?
 
Новая уязвимость ставит под угрозу более чем полмиллиарда пользователей архиватора WinRAR. Открытие сформированного злоумышленниками RAR-архива позволяет выполнить на машине жертвы произвольный код. Разработчики архиваторы выпустили заплатку.

Опасная уязвимость в WinRAR​

В популярной программе-архиваторе WinRAR обнаружена уязвимость, которая позволяет злоумышленнику выполнить любые команды на компьютере жертвы в момент, когда та откроет предоставленный хакером архив, пишет Bleeping Computer.

Уязвимость отслеживается под идентификатором CVE-2023-40477 и позволяет удаленному взломщику выполнить произвольный код на атакуемой машине при помощи специально подготовленного файла архива с расширением RAR.

Поскольку эксплуатация уязвимости требует действий со стороны жертвы – она сперва должна открыть файл архива для начала атаки, ее опасность, по оценке специалистов, не столь высока, какой могла бы быть в противном случае – всего 7,8 балла по шкале CVSS.

Тем не менее, как отмечает Bleeping Computer, на практике склонить пользователя к выполнению нужного действия, вероятно, не составит для злоумышленника большой трудности. Учитывая же огромную пользовательскую базу WinRAR, у хакеров есть хорошие шансы найти «свою» жертву.

Компания-разработчик WinRAR на своем официальном сайте утверждает, архиватор, чья аудитория превышает 0,5 млрд человек, является самым популярным инструментом для сжатия данных в мире.


В чем заключается баг​


Брешь в WinRAR обнаружена исследователем безопасности под псевдонимом goodbyeselene в рамках проекта по выявлению уязвимостей в ПО Zero Day Initiative (ZDI) компании Trend Micro. О своей находке специалист сообщил разработчику WinRAR, компании Rarlabs, 8 июня 2023 г.

Уязвимость затрагивает механизм обработки так называемых томов для восстановления WinRAR. Тома – это особые файлы с расширением REV, которые автоматически создаются программой при упаковке данных в многотомные архивы, состоящие из нескольких файлов (томов) и, как правило, использующиеся для сохранения большого объема информации на нескольких носителях меньшей вместимости – к примеру, на гибких магнитных или лазерных компакт-дисках. Тома для восстановления предназначены для воссоздания поврежденных томов.

«Проблема заключается в отсутствии должной валидации передаваемых пользователем данных, в результате чего может быть осуществлен доступ к участку памяти за пределами выделенного буфера», – говорится на сайте Zero Day Initiative.

Как обезопасить себя​


Компания Rarlab закрыла уязвимость CVE-2023-40477 с выходом WinRAR версии 6.23 от 2 августа 2023 г. Таким образом, чтобы обезопасить себя, пользователям архиватора рекомендуется установить обновление.


В дальнейшем пользователи Windows, вероятно, смогут полностью отказаться от WinRAR, поскольку корпорация Microsoft намерена встроить в актуальной версию своего операционной системы нативную поддержку архивов форматов RAR и 7-Zip.

Как ранее писал CNews, по словам директора по продуктам Microsoft Паноса Паная (Panos Panay), функциональность будет реализована на основе libarchive – библиотеки с открытым исходным кодом.

Стоить иметь в виду, что создавать RAR-архивы Windows 11 с высокой долей вероятности все же не сможет, поскольку libarchive поддерживает только распаковку файлов этого формата. Поэтому желающим иметь возможно не только просматривать и извлекать содержимое RAR-файлов, но и выполнять обратную процедуру, придется иметь дело с WinRAR.

Бреши в WinRAR и 7-Zip​

В феврале 2019 г. эксперты по безопасности компании CheckPoint выявили в WinRAR серьезную уязвимость, которая позволяла злоумышленнику распаковать архив в произвольный каталог Windows, что, к примеру, позволяет выгрузить вредоносные файлы в нужное место и обеспечить их автоматический запуск при последующем старте ОС.

Проблему из себя представляла брешь в динамической библиотеке для синтаксического анализа архивов формата ACE – unacev2.dll. Примечательно, что уязвимая библиотека не обновлялась с 2005 г, поэтому и возможностью эксплуатации этой уязвимости злоумышленники располагали на протяжении не менее чем 14 лет.

В 2015 г. в WinRAR была обнаружена критическая уязвимость, благодаря которой можно было встроить вредоносный HTML-код в самораспаковывающийся RAR-архив.

В апреле 2022 г. CNews сообщил о том, что в другом популярном архиваторе – бесплатном 7-Zip – содержится опасная уязвимость, при правильной эксплуатации которой можно повысить права пользователя на отдельно взятом компьютере до уровня администратора.









 

0day уязвимость в WinRAR ставит под угрозу брокерские счета​


Evilnum опять в деле?

image



Хакеры активно эксплуатируют недавно обнаруженную в популярной программе архивации для Windows, WinRAR, чтобы взламывать аккаунты трейдеров и украсть их средства. Уязвимость была обнаружена в июне этого года и затрагивает обработку ZIP-файлов программой.

Уязвимость нулевого дня позволяет злоумышленникам скрывать вредоносные скрипты в архивных файлах, маскируя их под изображения ".jpg" или текстовые файлы ".txt", что в свою очередь компрометирует целевые машины.

С апреля этого года злоумышленники распространяли вредоносные архивы на специализированных торговых форумах. Group-IB обнаружила вредоносные архивы, размещенные на, по меньшей мере, восьми публичных форумах, связанных с торговлей, инвестициями и криптовалютами. Названия этих форумов компания не раскрыла.

После обнаружения вредоносных файлов на одном из форумов, администрация предупредила своих пользователей и заблокировала аккаунты атакующих. Однако Group-IB нашла доказательства того, что хакерам удавалось разблокировать отключенные администрацией аккаунты и продолжать распространять вредоносные файлы.

При открытии зараженного файла хакеры получают доступ к брокерским счетам жертв и могут проводить незаконные финансовые операции. К настоящему моменту заражены устройства по меньшей мере 130 трейдеров.

Неизвестно, кто стоит за эксплуатацией этой уязвимости в WinRAR. Однако Group-IB отметила, что хакеры использовали троян DarkMe, ранее связанный с группой угроз "Evilnum", активной в Великобритании и Европе с 2018 года и известной своими атаками на финансовые организации и онлайн-торговые платформы.

Group-IB сообщила о уязвимости разработчикам WinRAR, и 2 августа была выпущена обновленная версия программы (6.23), в которой проблема была устранена.







 
Сверху Снизу