Bezpečnost | Malware

WinRAR trpěl více než deset let exotickou chybou. Soubory se mohly tajně rozbalit do jiných složek

Bezpečnostní experti z Check Pointu se na svém blogu pochlubili elegantním útokem na systém pomocí jednoho z nejpopulárnějších kompresních programů: WinRAR.

Stačilo vytvořit zákeřný balíček, který část souborů rozbalil na místo do stanoveného adresáře třeba do složky Po startu. Pokud by se jednalo o nějaký sofistikovanější malware, který by nezachytil antivirový program, při příštím spuštění počítače s Windows by se aktivoval a mohl napáchat další škody.

Na vině je jedna z knihoven WinRARu – UNACEV2.DLL, která se stará o práci s dnes již zastaralou kompresní metodou ACE. Knihovnu nevyvíjejí přímo autoři WinRARu a je poměrně stará – poslední aktualizace se dočkala v roce 2005.

Demonstrace skrytého rozbalení do složky Po startu:

Check Point zjistil, že knihovna při práci se soubory a adresáři trpí zranitelností typu Directory traversal attack, pomocí kterého lze nastavit odlišnou relativní cestu, kam se mají komprimované soubory rozbalit. V praktické ukázce pak vytvořili cestu vedoucí právě do složky pro programy, které se mají spustit po startu, a vše demonstrovali na Windows 10.

Zatímco uživateli se část souborů rozbalila na korektní místo, hypotetický malware se objevil v adresáři Po startu.

Teoreticky mohli útočníci zneužívat chybu více než deset let pro nakažení počítače, WinRAR totiž patří k nejčastějším programům na počítačích s Windows (autoři se chlubí 500 miliony uživatelů), nadále to už ale nebude možné.

Vývojáři WinRARu si totiž poté, co je Check Point informoval o zranitelnosti, spočítali, že nejjednodušší bude odstranit knihovnu UNACEV2.DLL a s ní i podporu celé kompresní technologie ACE.

První opravená verze je WinRAR 5.70 Beta 1 z konce ledna.

Ze seznamu změn WinRAR 8.70 Beta 1:

WinRAR used this third party library to unpack ACE archives. UNACEV2.DLL had not been updated since 2005 and we do not have access to its source code. So we decided to drop ACE archive format support to protect security of WinRAR users.

We are thankful to Check Point Software Technologies for reporting this issue.

Diskuze (19) Další článek: V našem sousedství teče přes miliardu let stará řeka hvězd

Témata článku: , , , , , , , , , , , , , , , , , , , ,