Ve WinRARu se 19 let skrývala nebezpečná chyba
autor: Mirek Kočí , publikováno 28.2.2019

Výzkumný tým Check Point Research odhalil pomocí fuzzeru WinAFL logickou chybu a zranitelnost ve WinRARu. Chybu lze jednoduše zneužít jen obyčejným rozbalením souboru a ohroženo bylo všech více než 500 milionů uživatelů tohoto populárního programu. Překvapivě chyba existovala více než 19 let a přinutila společnost WinRAR skončit s podporou zranitelného formátu.

Výzkumníci z týmu Check Point Research navíc objevili malware, který využívá tuto zranitelnost. Útok začne v okamžiku, kdy uživatel rozbalí soubor pomocí WinRARu. Soubor vypadá jako rbxm, což je 3D model pro Roblox, populární herní online platformu. Ale kromě 3D modelu je v archivu ukryt i JS soubor, který stáhne a spustí škodlivý soubor.

Před několika měsíci vytvořil tým Check Point Research multiprocesorovou fuzzing laboratoř a začal testovat prostředí Windows pomocí fuzzeru WinAFL. Po zajímavých výsledcích z testování Adobe začali výzkumníci testovat fuzzerem také WinRAR. Jeden z problémů vyvolaných fuzzerem ukázal na starší DLL knihovnu, která byla vytvořena v roce 2006 bez ochranného mechanismu (jako jsou ASLR, DEP atd.) a využívá ji právě WinRAR.

Ve WinRARu se 19 let skrývala nebezpečná chyba

Check Point Research proto zaměřil pozornost a fuzzer na toto DLL a hledal chybu, která by vedla ke vzdálenému spuštění kódu. Fuzzer odhalil podivné chování a další analýzou našel výzkumný tým logickou chybu.

Potom už bylo jednoduché zranitelnost zneužít pro vzdálené spuštění kódu, což by v rukou kyberútočníků mohla být nebezpečná zbraň a jak ukazuje i příklad objeveného malwaru, stále se jedná o hrozbu. Zajímavostí je, že za nalezení podobné chyby byla vypsána odměna v programu pro hledání zranitelností.

Zdroj: Check Point



Tagy: Check Point Research  WinRAR  
 
Komentáře k článku
RSS
Pouze registrovaní uživatelé mohou přidat komentář!
28.2.2019 18:53:57   84.245.120.xxx 200
-uz to opravili ,alebo nie ? toto je taka novinka..., Informuje iba o tom co sa stalo ,ale nie o aktualnom stave programu..

Redakce si vyhrazuje právo odstranit neslušné a nevhodné příspěvky. Případné vyhrady na diskuze(zavináč)pctuning.cz

14 čtenářů navrhlo autorovi prémii: 5.4Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.