La faille WinRar déja exploitée activement par des hackers

Il a été révélé qu’une vulnérabilité trouvé dans WinRar est activement exploitée par des hackers alors que seulement hier, nous vous informions dans un articleque la récente faille Drupal était exploitée par des cybercriminels.

Il y’a a quelques jours nous avons parlé de la vulnérabilité d’exécution de code à distance de WinRAR, cette vulnérabilité était présente pendant 19 ans. Elle a été découverte par Check Point et se situe dans la librairie UNACEV2.dll et permet d’exécuter du code arbitraire sur un système ciblé en utilisant un fichier ACE.

Pour exploiter la vulnérabilité et prendre le contrôle d’un système ciblé, il faut juste convaincre l’utilisateur d’ouvrir un fichier compressé malveillant en utilisant WinRAR.

Un code de l’exploit était déjà présent sur Github seulement jour après que Check Point ait partagé une vidéo qui montrait comment une archive ACE pouvait extraire un fichier malveillant vers le dossier Windows Startup.?

Les chercheurs en sécurité de 360 Threat Intelligence Center (360TIC) ont détecté une campagne d’email spam qui contient des fichiers RAR malveillants en fichier joint. Ces fichiers ciblent la vulnérabilité et installe des malware sur les systèmes utilisant des versions vulnérables du logiciel.

“Possiblement le premier malware délivré par mail pour exploiter la vulnérabilité WinRAR. La porte dérobée est générée par MSF [Microsoft Solutions Framework] et écrite dans le dossier startup global par WinRAR si UAC est désactivez,” ont tweeté les chercheurs.

Comme on a pu le voir dans la capture d’écran partagée par les chercheurs, ils sont ouverts avec WinRAR, les logiciels s’exécutant avec les privilèges d’administrateur ou sur une machine ciblée avec UAC (User Account Control) désactivé— le malware installe un fichier malveillant (CMSTray.exe) dans le dossier Windows Startup. Le fichier est conçu pour créer une porte dérobée sur l’ordinateur ciblé.

UAC met des limites sur les permissions, si vous essayez d’extraire une archive alors que UAC est activé, il ne sera pas possible de placer un fichier exe malveillant dans le dossier C:\ProgramData.

La meilleure façon de vous protéger contre cette attaque est de mettre à jour votre logiciel en installant la dernière version et d’éviter d’ouvrir des fichiers venant de sources inconnus.

WinRAR est un logiciel propriétaire de compression de données développé par le Russe Eugene Roshal. Il est gratuit en version d’essai mais une version payante et complète existe.

Il utilise par défaut un algorithme de compression propriétaire, le RAR, mais il est également capable de compresser au format ZIP et d’extraire des archives aux formats 7z, bzip2, ACE, ARJ, CAB, gzip, ISO, JAR, LZH, TAR, UUE et Z.

Ce programme permet aussi de créer des archives auto-extractibles pour Windows (ne nécessitant pas de logiciel de décompression).

WinRAR permet également de générer des archives en plusieurs fichiers et de chiffrer le contenu des archives jusqu’en AES-256 depuis la version 5.10.

Un code source perdu par WinRar

WinRAR avait perdu le code source de la librairie UNACEV2.dll en 2005. Au lieu de patcher le problème, ils ont sorti la version 5.70 beta 1 de WINRar et ont supprimé le support du format ACE. Le problème est réglé mais il n’est plus possible d’ouvrir des fichiers ACE avec WinRAR.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x