- 21 de fevereiro de 2019
- Posted by: Alan Sanches
- Category: Segurança Ofensiva
Uma vulnerabilidade de execução remota de código foi descoberta no software WinRAR, afetando centenas de milhões de usuários em todo o mundo.
Pesquisadores de segurança da Check Point divulgaram detalhes técnicos de uma vulnerabilidade crítica no WinRAR que afeta todas as versões do software lançado nos últimos 19 anos.
A falha reside na maneira como uma biblioteca antiga de terceiros, chamada UNACEV2.DLL, usada pelo software, manipulava a extração de arquivos compactados no formato ACE. No entanto, como o WinRAR detecta o formato pelo conteúdo do arquivo e não pela extensão, os invasores podem simplesmente alterar a extensão .ace para a extensão .rar para parecer normal.
Segundo os pesquisadores, eles descobriram um bug “Absolute Path Traversal” na biblioteca que poderia ser aproveitado para executar código arbitrário em um sistema direcionado que tentasse descompactar um arquivo de arquivos criado com intuito malicioso usando as versões vulneráveis do software.
A falha Absolute Path Traversal permite que os invasores extraiam arquivos compactados para uma pasta de sua escolha, em vez da pasta escolhida pelo usuário, deixando uma oportunidade de soltar código malicioso na pasta de inicialização do Windows, onde ele seria executado automaticamente na próxima reinicialização.
Como mostrado na demonstração em vídeo compartilhada pelos pesquisadores, para ter controle total sobre os computadores de destino, tudo que um atacante precisa fazer é convencer os usuários a abrir apenas os compactados com códigos maliciosos usando o WinRAR.
Como a equipe do WinRAR perdeu o código-fonte da biblioteca UNACEV2.dll em 2005, decidiu descartar o UNACEV2.dll do pacote para corrigir o problema e liberou a versão WINRar 5.70 beta 1 que não suporta o formato ACE.
Os usuários do Windows são aconselhados a instalar a versão mais recente do WinRAR o mais rápido possível e evitar a abertura de arquivos recebidos de fontes desconhecidas.
Referência: The Hacker News