winrar

La faille WinRar déja exploitée

Hier, nous avons publié un article expliquant que la récente faille Drupal était exploitée par des cybercriminels, il a été révélé que la vulnérabilité trouvé dans WinRAR est aussi activement exploitée par les hackers.

Il y’a a quelques jours nous avons parlé de la vulnérabilité d’exécution de code à distance de WinRAR, cette vulnérabilité était présente pendant 19 ans. Elle a été découverte par Check Point et se situe dans la librairie UNACEV2.dll et permet d’exécuter du code arbitraire sur un système ciblé en utilisant un fichier ACE.

Pour exploiter la vulnérabilité et prendre le contrôle d’un système ciblé, il faut juste convaincre l’utilisateur d’ouvrir un fichier compressé malveillant en utilisant WinRAR.

Un code de l’exploit était déjà présent sur Github seulement jour après que Check Point ait partagé une vidéo qui montrait comment une archive ACE pouvait extraire un fichier malveillant vers le dossier Windows Startup.?

Les chercheurs en sécurité de 360 Threat Intelligence Center (360TIC) ont détecté une campagne d’email spam qui contient des fichiers RAR malveillants en fichier joint. Ces fichiers ciblent la vulnérabilité et installe des malware sur les systèmes utilisant des versions vulnérables du logiciel.

“Possiblement le premier malware délivré par mail pour exploiter la vulnérabilité WinRAR. La porte dérobée est générée par MSF [Microsoft Solutions Framework] et écrite dans le dossier startup global par WinRAR si UAC est désactivez,” ont tweeté les chercheurs.

Comme on a pu le voir dans la capture d’écran partagée par les chercheurs, ils sont ouverts avec WinRAR, les logiciels s’exécutant avec les privilèges d’administrateur ou sur une machine ciblée avec UAC (User Account Control) désactivé— le malware installe un fichier malveillant (CMSTray.exe) dans le dossier Windows Startup. Le fichier est conçu pour créer une porte dérobée sur l’ordinateur ciblé.

UAC met des limites sur les permissions, si vous essayez d’extraire une archive alors que UAC est activé, il ne sera pas possible de placer un fichier exe malveillant dans le dossier C:\ProgramData.

La meilleure façon de vous protéger contre cette attaque est de mettre à jour votre logiciel en installant la dernière version et d’éviter d’ouvrir des fichiers venant de sources inconnus.

Un code source perdu par WinRar

WinRAR avait perdu le code source de la librairie UNACEV2.dll en 2005. Au lieu de patcher le problème, ils ont sorti version 5.70 beta 1 de WINRar et ont supprimé le support du format ACE. Le problème est réglé mais il n’est plus possible d’ouvrir des fichiers ACE avec WinRAR.

Laisser un commentaire