Ve WinRARu byla 19 let zranitelnost

28.02.2019 15:46 | Pavel Trousil + Přidat komentář

Ve WinRARu byla 19 let zranitelnost | foto: CHIP

Výzkumný tým Check Point Research odhalil pomocí fuzzeru WinAFL logickou chybu a zranitelnost v oblíbeném programu WinRAR. Chybu lze jednoduše zneužít jen obyčejným rozbalením souboru a ohroženo bylo všech více než 500 milionů uživatelů.

Překvapivě chyba existovala v tomto programu více než 19 let. Výzkumníci z týmu Check Point Research navíc objevili malware, který využívá tuto zranitelnost. Útok začne v okamžiku, kdy uživatel rozbalí soubor pomocí WinRARu. Soubor vypadá jako rbxm, což je 3D model pro Roblox, populární herní online platformu. Ale kromě 3D modelu je v archivu ukryt i JS soubor, který stáhne a spustí škodlivý soubor.

Před několika měsíci vytvořil tým Check Point Research multiprocesorovou fuzzing laboratoř a začal testovat prostředí Windows pomocí fuzzeru WinAFL. Po zajímavých výsledcích z testování Adobe začali výzkumníci testovat fuzzerem také WinRAR. Jeden z problémů vyvolaných fuzzerem ukázal na starší DLL knihovnu unacev2.dll, která byla vytvořena už v roce 2006 bez ochranného mechanismu (jako jsou ASLR, DEP atd.) a využívá ji právě program WinRAR. WinRAR se proto rozhodl skončit s podporou formátu ACE, protože při jeho analýze se tato knihovna používá.

Check Point Research proto zaměřil pozornost a fuzzer na tuto DLL a hledal chybu, která by vedla ke vzdálenému spuštění kódu. Fuzzer odhalil podivné chování a další analýzou našel výzkumný tým logickou chybu. Potom už bylo jednoduché zranitelnost zneužít pro vzdálené spuštění kódu, což by v rukou kyberútočníků mohla být nebezpečná zbraň. Jak ukazuje i příklad objeveného malwaru, stále se jedná o hrozbu, je proto nutné vždy používat aktuální verzi softwaru a nepodceňovat zabezpečení. Zajímavostí je, že za nalezení podobné chyby byla vypsána odměna v programu pro hledání zranitelností. Podrobnosti k tomuto případu najdete na stránkách společnosti Check Point Research.