Luka w programie WinRAR pozwala na przeprowadzenie cyberataku

22 października 2021, 11:35
winrar1
Fot. CyberDefence24.pl
CyberDefence24
CyberDefence24

W popularnym programie WinRAR służącym do kompresji plików wykryto poważną lukę bezpieczeństwa. Wada pozwala na potencjalne dokonanie cyberataku przez hakerów i przejęcie kontroli nad komputerem ofiary.

Program WinRAR funkcjonuje na rynku od 1993 roku, służy do kompresji oraz archiwizowania danych. Oprogramowanie przeznaczone do systemów Windows jest oferowane w wersji shareware – po okresie próbnym należy wykupić jego pełną wersję.

Nawet bez dokonania opłaty aplikacja po okresie testowym funkcjonuje nadal, jednak po jej każdorazowym uruchomieniu pojawia się monit informujący o korzystaniu przez użytkownika z wersji shareware.

Groźna luka

Igor Sak-Sakovskiy, analityk z Positive Technologies poinformował, że w testowej wersji programu WinRAR dla Windows ujawniono słaby punkt w zabezpieczeniach, który może zostać wykorzystany przez cyberprzestępców do wykonania dowolnego kodu na zaatakowanym systemie, podkreślając tym samym, że luki w takim oprogramowaniu mogą stać się furtką dla szeregu ataków.

Oznaczony jako CVE-2021-35052, błąd dotyczy wersji testowej oprogramowania w wersji 5.70. „Ta luka pozwala atakującemu na przechwytywanie i modyfikowanie żądań wysyłanych do użytkownika aplikacji” - wyjaśnia Igor Sak-Sakovskiy w opisie technicznym. - „Może to zostać wykorzystane do osiągnięcia zdalnego wykonania kodu na komputerze ofiary”.

Jak przebiega atak

Badanie WinRARa rozpoczęło się po zaobserwowaniu błędu JavaScript generowanego przez MSHTML (aka Trident), silnik przeglądarki dla obecnie wycofanego Internet Explorera, który jest używany w pakiecie Office do wyświetlania zawartości stron internetowych wewnątrz dokumentów Word, Excel i PowerPoint.

Przechwytując kod odpowiedzi wysyłany w momencie, gdy WinRAR powiadamia użytkownika o zakończeniu darmowego okresu próbnego poprzez stronę „notifier.rarlab.com” i modyfikując go do wiadomości przekierowującej „301 Moved Permanently”, firma Positive Technologies odkryła, że może on zostać użyty do przekierowania do kontrolowanej przez atakującego złośliwej domeny dla wszystkich kolejnych żądań.

Ponadto osoba atakująca, która ma już dostęp do tej samej domeny sieciowej, może przeprowadzać ataki w celu zdalnego uruchamiania aplikacji, pobierania informacji o lokalnych hostach, a nawet uruchamiania dowolnego kodu.

„Jednym z największych wyzwań, przed jakimi staje organizacja, jest zarządzanie oprogramowaniem firm trzecich” - zauważa Sak-Sakovskiy. - „Po zainstalowaniu, oprogramowanie firm trzecich ma dostęp do odczytu, zapisu i modyfikacji danych na urządzeniach, które mają dostęp do sieci korporacyjnych. Niemożliwe jest skontrolowanie każdej aplikacji, która może zostać zainstalowana przez użytkownika, dlatego odpowiednia polityka ma kluczowe znaczenie dla zarządzania ryzykiem związanym z zewnętrznymi aplikacjami i równoważenia tego ryzyka z potrzebami biznesowymi w zakresie różnorodnych programów. Niewłaściwe zarządzanie może mieć daleko idące konsekwencje” – przestrzega Sak-Sakovskiy.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@cyberdefence24.pl. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image
Fot. Reklama

 

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 1
Alfred
piątek, 22 października 2021, 14:27

"Łuka" która idealnie pokazuje czym jest tz. cyber bezpieczeństwo dzisiaj . Jeśli ktoś może przechwytywać twoją komunikację sieciową to "luka" w winrarze to twój najmniejszy problem. Może czasami warto czytać coś poza tytułami i wstępem

Tweets CyberDefence24