Vulnerabilidad WinRAR

¿Utilizas WinRAR? Datos de 500 millones de usuarios en riesgo

utilizas-winrar-datos-500-millones-usuarios-riesgo

©Windows

Actualizado 25 | 02 | 2019 07:00

WinRAR vulnerabilidad

Los investigadores de Check Point® Software Technologies Ltd. (NASDAQ: CHKP) han descubierto una nueva vulnerabilidad en WinRAR, una herramienta para el sistema operativo Windows  con más de 500 millones de usuario que permite crear y visualizar documentos en formatos RAR o ZIP, así como descomprimir numerosos archivos en distintos formatos.

Esta nueva vulnerabilidad, que ha existido durante casi 2 décadas, fue descubierta al utilizar un fuzzer de WinAFL en WinRAR, permite extraer registros de los usuarios de esta aplicación.

El equipo de Check Point señala que una de las vulnerabilidades que encontraron tenía su origen en una antigua dll de 2006 que no contaba con mecanismos de protección (como ASLR, DEP, etc.). El análisis de esta dllse centraba en encontrar un bug de corrupción de memoria que pudiese utilizarse para ejecutar código de forma remota durante una de las pruebas el fuzzer descubrió un caso con un comportamiento extraño y, tras investigarlo, los investigadores de Check Point encontraron un error lógico de tipo: «Absolute PathTraversal». A partir de aquí era sencillo aprovechar esta vulnerabilidad para generar una ejecución remota de código.

¿Cuáles han sido los procesos para detectar esta vulnerabilidad?

  1. Creación de un armazón interno dentro de la función principal de WinRAR que permite fusionar cualquier tipo de archivo, sin necesidad de generar uno específico para cada formato, mediante parcheo del ejecutable WinRAR.
  1. Elimina elementos gráficos de interfaz de usuario (GUI, GraphicalUserinterface) como cuadros de mensajes y cuadros de diálogo que requieren la interacción del usuario, mediante la aplicación de parches en el ejecutable WinRAR. Algunos de estos cuadros de mensaje aparecen incluso en el modo CLI de WinRAR.
  1. Seleccionar un conjunto de formatos de archivo de una investigación muy interesante dirigida en 2005 por la Universidad de Oulu
  2. Hacer fuzz en el programa con WinAFLpara descubrir errores de código usando las opciones de línea de comandos de WinRAR para obligar al programa a analizar el «archivo roto» y establecer una contraseña predeterminada,

“Tras llevar a cabo todos estos pasos encontramos varios fallos en un corto periodo de tiempo, fundamentalmente debido a la extracción de varios formatos de archivo como RAR, LZH y ACE como consecuencia de la vulnerabilidad de corrupción de memoria (como escritura fuera de límites)”, señalan desde Check Point. “Asimismo, encontramos queWinRAR utiliza un dll llamado «unacev2.dll» para analizar los archivos ACE, pero que este sistema no cuenta con ningún mecanismo de protecciónmoderna como ASLR, DEP, etc…”, añaden.


Cargando noticia...