На этой неделе исследователь по безопасности Mohammad Reza Espargham сообщил об обнаружении критической Remote Code Execution (RCE) уязвимости в популярном архиваторе WinRAR v 5.21. Данная программа является очень популярной у пользователей по всему миру, ее используют более 500 млн. человек. Уязвимость позволяет атакующим сформировать специальный самораспаковывающийся SFX-архив, который будет исполнять на компьютере пользователя посторонний код.
С точки зрения пользователя эта уязвимость является незначительной, поскольку SFX-архивы представляют из себя исполняемые файлы, а значит, для активации эксплойта, пользователь должен сам скачать и запустить (!) данный файл, что само по себе является нарушением безопасности, поскольку запускать исполняемые файлы неизвестного происхождения крайне не рекомендуется (они могут быть вредоносными сами по себе).
Уязвимость присутствует в функции архиватора Text and Icon раздела Text to display in SFX window. Для этого в SFX-архив должен быть добавлен специальным образом сформированный текст в формате HTML. Уязвимость позволяет исполняемому коду распаковщика загрузить исполняемый файл по указанному там расположению и исполнить его. Уязвимость не срабатывает в случае, когда SFX-архив распаковывается самим архиватором, а не через ручной запуск, т. е. без активации начального исполняемого кода.
Рис. Демонстрация эксплуатации уязвимости.
Мы не рекомендуем пользователям запускать исполняемые файлы, полученные из недоверенного источника. Нужно отметить, что WinRAR, сам по себе, содержит стандартную функцию, которая позволяет запускать дополнительный исполняемый файл при запуске SFX-архива пользователем. Кроме этого, создаваемые WinRAR SFX-архивы, не снабжаются цифровой подписью, так что у пользователя мало шансов убедиться в том, что файл архива не был кем либо скомпрометирован (genuine). Злоумышленники могут взять оригинальный SFX-архив, модифицировать код распаковщика, а затем распространять его на подозрительных ресурсах и торрентах как легитимный. Такая операция не является эксплуатацией какой-либо уязвимости, но приведет к аналогичным последствиям для пользователя.
Be secure.
С точки зрения пользователя эта уязвимость является незначительной, поскольку SFX-архивы представляют из себя исполняемые файлы, а значит, для активации эксплойта, пользователь должен сам скачать и запустить (!) данный файл, что само по себе является нарушением безопасности, поскольку запускать исполняемые файлы неизвестного происхождения крайне не рекомендуется (они могут быть вредоносными сами по себе).
Уязвимость присутствует в функции архиватора Text and Icon раздела Text to display in SFX window. Для этого в SFX-архив должен быть добавлен специальным образом сформированный текст в формате HTML. Уязвимость позволяет исполняемому коду распаковщика загрузить исполняемый файл по указанному там расположению и исполнить его. Уязвимость не срабатывает в случае, когда SFX-архив распаковывается самим архиватором, а не через ручной запуск, т. е. без активации начального исполняемого кода.
Рис. Демонстрация эксплуатации уязвимости.
Мы не рекомендуем пользователям запускать исполняемые файлы, полученные из недоверенного источника. Нужно отметить, что WinRAR, сам по себе, содержит стандартную функцию, которая позволяет запускать дополнительный исполняемый файл при запуске SFX-архива пользователем. Кроме этого, создаваемые WinRAR SFX-архивы, не снабжаются цифровой подписью, так что у пользователя мало шансов убедиться в том, что файл архива не был кем либо скомпрометирован (genuine). Злоумышленники могут взять оригинальный SFX-архив, модифицировать код распаковщика, а затем распространять его на подозрительных ресурсах и торрентах как легитимный. Такая операция не является эксплуатацией какой-либо уязвимости, но приведет к аналогичным последствиям для пользователя.
Be secure.
