WinRAR : la vieille faille exploitée pour installer un malware

Le par  |  7 commentaire(s)
WinRar

C'était prévisible. Le vieux bug de sécurité dans WinRAR est exploité par des attaquants pour installer du code malveillant.

Le mois dernier, Check Point Research a mis au jour une vieille vulnérabilité d'exécution de code présente dans les versions de WinRAR depuis 19 ans. Elle était présente au niveau d'une bibliothèque logicielle tierce unacev2.dll utilisée par WinRAR afin d'extraire des fichiers d'archives au format ACE.

Pour WinRAR dans sa version 5.61 et pour les versions antérieures, la faille est dite de type traversée de chemin lors de la création du champ du nom de fichier pour les formats en .ACE.

Dans le descriptif de cette vulnérabilité référencée CVE-2018-20250, on peut lire que lorsque le champ du nom de fichier est manipulé avec des modèles spécifiques, le dossier de destination (dossier d'extraction) est ignoré. Le chemin absolu est spécifié dans le champ du nom de fichier.

" Ce bug logique permet l'extraction d'un fichier dans un dossier arbitraire, ce qui sera en réalité une exécution de commande. "

Check Point Research avait prévenu qu'en renommant une archive ACE avec une extension .rar, des attaquants peuvent manipuler WinRAR et extraire un malware dans le dossier de démarrage d'un ordinateur.

McAfee indique avoir observé que cette vulnérabilité CVE-2018-20250 est justement exploitée par des attaquants. Un exemple cité est celui d'une copie piégée (et illégale) d'un album " Thank U, Next " de la chanteuse Ariana Grande avec pour nom : Ariana_Grande-thank_u,_next(2019)_[320].rar.

McAfee-WinRAR-Ariana-Grande McAfee-WinRAR-Ariana-Grande-charge-utile-malveillante

" Lorsqu'une version vulnérable de WinRAR est utilisée pour extraire le contenu de cette archive, une charge utile malveillante est créée dans le dossier de démarrage. Le contrôle de compte utilisateur (UAC) ne s'applique pas, de sorte qu'aucune alerte n'est affichée. La prochaine fois que le système redémarre, le malware est exécuté ", écrit McAfee.

Selon McAfee, depuis la divulgation de la vulnérabilité, plus d'une centaine d'exploits uniques ont été identifiés. Publiée fin février, la version 5.70 de WinRAR n'est pas vulnérable. Pour ceux qui ont encore recours à WinRAR ou ne sont pas portés sur les mises à jour...

Complément d'information
  • WinRar : découverte d'une faille vieille de 14 ans
    Des chercheurs en sécurité ont annoncé avoir repéré une faille dans le logiciel WinRar qui date de près de 14 ans.
  • Winrar : faille de sécurité
    L'utilitaire de compression / décompression de fichiers, j'ai nommé Winrar, souffre d'une faille de sécurité jugée critique, qui permet, si elle est utilisée, de provoquer un débordement de ...

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2055444
L'attaque était la suivante, renommer une archive ACE vérolée en .rar tout simplement.
Mise à jour à faire très vite, ou alors utilisez 7Zip.
Le #2055445
7Zip nothing else !
Le #2055447
skynet a écrit :

L'attaque était la suivante, renommer une archive ACE vérolée en .rar tout simplement.
Mise à jour à faire très vite, ou alors utilisez 7Zip.


Heu ya des années que j'ai pas vu d’archives ACE
Le #2055448
Yves6 a écrit :

skynet a écrit :

L'attaque était la suivante, renommer une archive ACE vérolée en .rar tout simplement.
Mise à jour à faire très vite, ou alors utilisez 7Zip.


Heu ya des années que j'ai pas vu d’archives ACE


Et là tu les verras mêmes pas car pour les attaques elles sont renommées en .RAR
Le #2055580
Une légende raconte que seule la version payante était ciblé.
L'ensemble des utilisateurs payant ont chopé le virus, il s'appelait Roger et à été obligé de réinstaller windows.
Devant le désastre, les auteurs du virus ont préféré acheter une licence et s'infecté eux même.
Ce qui porte à 4 le nombre de personnes infectés !!!!

Je suis partis en roue libre la !!!
Le #2055674
Yves6 a écrit :

skynet a écrit :

L'attaque était la suivante, renommer une archive ACE vérolée en .rar tout simplement.
Mise à jour à faire très vite, ou alors utilisez 7Zip.


Heu ya des années que j'ai pas vu d’archives ACE


Pratiquement plus personnes utilise se type de fichier (ACE)
Le #2055678
Oxidiams a écrit :

Yves6 a écrit :

skynet a écrit :

L'attaque était la suivante, renommer une archive ACE vérolée en .rar tout simplement.
Mise à jour à faire très vite, ou alors utilisez 7Zip.


Heu ya des années que j'ai pas vu d’archives ACE


Pratiquement plus personnes utilise se type de fichier (ACE)


Ce qui n'empêche pas l'infection (voir les messages plus haut)
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme