WinRAR ha corretto una vulnerabilità di sicurezza risalente a 19 anni fa e che permetteva agli aggressori di estrarre software dannoso ovunque sul disco rigido del computer. Il difetto è stato scoperto dai ricercatori di Check Point Software Technologies, resesi conto che il supporto di WinRAR al formato di archivio ACE si basava ancora su un file DLL datato e insicuro dal 2006. In particolare, la micro patch corregge una vulnerabilità di esecuzione arbitraria di codice con un potenziale impatto su milioni di utenti dello strumento di compressione WinRAR, abbandonando il sostegno ad ACE dopo che gli sviluppatori dell'app lo avevano rimosso in seguito alla scoperta del problema.
Si tratta dell'ultima sensazionale scoperta ad opera del team di Check Point Software Technologies, società israeliana specializzata in sicurezza informatica. WinRAR è uno dei programmi shareware di compressione* e archiviazione di dati più diffusi al mondo oggi, utilizzato da oltre 500 milioni di persone, sia per scopo personale sia professionale. La scoperta è il risultato di una ricerca che è iniziata qualche mese fa con la creazione di un laboratorio di fuzzing** multiprocessore. Nadav Grossman, investigator di Check Point Research (CPR), è stato colui che ha originariamente trovato il bug logico di ACE Path Traversal nella libreria UNACEV2.DLL scritta da e-merge GmbH, il manutentore del software WinACE, utilizzando il fuzzer WinAFL. Tale libreria è responsabile della decompressione degli archivi ACE.
Dopo aver ottenuto buoni risultati con Adobe Research, il team ha deciso di eseguire fuzz testing all'interno di WinRAR. Uno dei crash prodotti dal fuzzer ha portato il team di ricerca a trovare una DDL (dynamic-link library) realizzata nel 2006 senza un meccanismo di protezione (come ASLR, DEP, ecc.) e utilizzata da WinRAR. Dopo avere eseguito altri crash test, i ricercatori hanno individuato un bug in grado di avviare l'esecuzione di un codice da remoto che avrebbe potuto potenzialmente infettare milioni e milioni di persone. Semplicemente rinominando un file ACE per assegnargli un'estensione RAR, era possibile ottenere WinRAR per estrarre un programma dannoso nella cartella di avvio del computer, il che significa che sarebbe stato eseguito automaticamente all'avvio successivo del computer.
Il difetto del software, identificato dal codice CVE-2018-20250, consentiva ai potenziali aggressori di prendere completamente il controllo del sistema inducendo le vittime nell'aprire un archivio maliziosamente creato, rendendo possibile la creazione di file in cartelle arbitrarie all'interno o all'esterno della cartella di destinazione durante il disimballaggio degli archivi ACE. Il team di sviluppo di WinRAR ha emesso una patch per risolvere il problema con la release WinRAR 5.70 Beta 1, ma poiché la DLL interessata non è stata aggiornata dal 2005 e l'accesso al suo codice sorgente è andato perso, win.rar GmbH ha deciso di rimuovere il supporto per gli archivi ACE, che era l'opzione più ragionevole considerando che l'unico programma in grado di creare gli archivi, WinACE , non è stato aggiornato dal 2007.
Non è chiaro se qualche attacco abbia usato questo exploit nei 19 anni in cui è esistito, ma con mezzo miliardo di utenti WinRAR in tutto il mondo ci sono state molte opportunità per farlo. Se si è uno di questi utenti, è piuttosto importante aggiornare WinRAR il prima possibile per assicurarsi di non essere preda di questo exploit. Secondo il changelog ufficiale, la versione aggiornata di WinRAR include nuovi parametri per il funzionamento dalla riga di comando, la correzione di alcuni bug di sicurezza e altro ancora. La versione 5.70 di WinRar per Windows, Linux, macOS FreeBSD e Android è disponibile per il download dal sito ufficiale. Il motore comportamenatale di Check Point SandBlast Agent protegge da queste minacce. Check Point IPS fornisce ulteriore protezione contro contro gli attacchi zero-day.
Agli utenti che non sono interessati ad un aggiornamento, il consiglio di win.rar GmbH è quello di eliminare il file UNACEV2.DLL dalla versione corrente di WinRAR per essere nuovamente protetto in modo affidabile. Check Point’s SandBlast Agent Behavioral Guard CPR ha creato un video dimostrativo, incluso nel suo post sul blog, che mostra come un archivio ACE può estrarre un file dannoso nella cartella Esecuzione automatica di Windows. *RAR è un formato di file, tipicamente utilizzato per la compressione dei dati (simile ai file ZIP). Le estensioni dei file più comuni per un formato RAR sono .rar (per i file compressi) e .rev (per i file di ripristino). **il fuzz testing (o fuzzing) è una tecnica usata per individuare errori o falle di sicurezza del software. Il tester (o fuzz) invia al sistema dati casuali allo scopo di causarne il crash.
Nessun commento:
Posta un commento