Falha crítica coloca 500 milhões de usuários do WinRAR em risco por descompactar um arquivo

Falha crítica coloca 500 milhões de usuários do WinRAR em risco por descompactar um arquivo

Uma falha crítica na execução remota de código WinRAR poderia colocar 500 milhões de usuários em risco de terem seus computadores comprometidos se eles simplesmente abrissem um arquivo compactado infectado, mas a empresa por trás do WinRAR basicamente menosprezou a vulnerabilidade.

500 milhões, sim, meio bilhão de usuários do WinRAR estão em risco de serem comprometidos graças a uma falha crítica que poderia permitir que hackers assumam o controle dos computadores das vítimas. O mundo ficou em alerta por meio da lista de discussão Full Disclosure, sobre uma vulnerabilidade em execução remota de código na versão mais recente do WinRAR, 5.21. Se o bug crítico no WinRAR é explorado por um atacante, então o sistema da vítima pode ser comprometido simplesmente abrindo o arquivo.

Seja filme, música, aplicações, fotos, imagens, jogos ou qualquer outra coisa, se é um arquivo digital, então você pode provavelmente compactá-lo ou descompactá-lo. Você pode ter usado a popular ferramenta WinRAR para compactar ou descompactar um RAR, ZIP, 7Z, TAR, EXE, ISO, CAB ou outro arquivo suportado. Digamos, por exemplo, que você tem um arquivo torrent. Neste caso, se você usou a última versão do WinRAR para descompactar um arquivo que continha código malicioso, ele será executado imediatamente após descompactar o arquivo infectado. Isto poderia levar a não somente comprometer o computador, mas potencialmente também sua rede.

Se você não sabe, uma vulnerabilidade de execução remota de código é especialmente desagradável. Bugs em um sistema comum de vulnerabilidades (CVSS) com pontuação de 7 a 10 são considerados de “alta” gravidade. A falha crítica no WinRAR foi atribuída uma pontuação de 9,2 pelo pesquisador de segurança que descobriu como um usuário apenas tem de abrir um arquivo infectado para o dispositivo a ser comprometido por um invasor. Não são necessárias sofisticadas habilidades de invasão para começar a explorar. Como o procedimento para exploração deste 0-day já está divulgado, espera-se que os atacantes iniciem as explorações desta vulnerabilidade em breve.

O pesquisador iraniano de segurança Mohammad Reza Espargham, que publicou a prova de conceito (PoC) e as etapas manuais necessárias para reproduzir a exploração, explicou: “A vulnerabilidade de execução de código pode ser explorada por atacantes remotos sem uma conta de usuário com privilégios ou interação do usuário. ”

Espargham postou um vídeo, que, ironicamente, contém “fo0l” na URL, mostrando como o PoC funciona.

Pode haver algum debate, pelo menos por um invasor sobre quem realmente descobriu a falha como R-73eN alega ter publicado a mesma façanha usando Python antes que ele fosse reescrito em Perl e publicado um dia depois. R-73eN disse de sua descoberta: “Uma janela com cargas de título de notificação expirada, lembrando o usuário comprar o WinRAR para remover os anúncios. Uma vez que esta utiliza uma conexão HTTP, podemos usar [a] man-in-the-middle para ganhar a execução remota de código.”

A PoC de Espargham pode não funcionar direito fora da caixa, mas ela funciona depois de algumas mudanças. Funcionou para o pesquisador da Malwarebytes Pieter Arntz depois que ele fez “mudanças triviais.”

Arntz explicou:

Basicamente, o ataque usa a opção de escrever código HTML no visor de texto ao criar um arquivo SFX, como você pode ver abaixo:

O atacante pode usar isso para executar código malicioso no computador da pessoa que abra o arquivo SFX.

Enquanto acredita-se que uma atualização rapida seria iminente antes de os atacantes usarem a falha crítica, isso pode não acontecer. Embora Espargham acredite que todas as versões do WinRAR podem ser vulneráveis, a RARLAB, fabricante do WINRAR, pensa que o PoC é “inútil”.

“Um invasor mal-intencionado pode tomar qualquer executável, arquivá-lo e distribuir aos usuários. Este fato por si só torna uma discussão sobre vulnerabilidades em arquivos SFX inútil “, escreveu RARLAB. “É inútil procurar supostas vulnerabilidades no módulo SFX ou possíveis correções, porque, como qualquer arquivo exe, um arquivo SFX é potencialmente perigoso para o computador do usuário por design. Assim como para qualquer arquivo .exe, os usuários devem executar arquivos SFX somente se tiverem certeza de que esse arquivo é recebido de uma fonte confiável. Os arquivos SFX silenciosamente podem executar qualquer arquivo contido no arquivo exe e esta é a característica oficial necessária para instaladores de software. ”

Na verdade, RARLAB sugeriu que há formas menos complicadas de comprometer silenciosamente um usuário RAR do que usar o PoC.

Mas a Malwarebytes não menosprezou a vulnerabilidade; pelo contrário, aconselhou os usuários do WinRAR “para serem mais vigilantes ao manusearem arquivos indesejados SFX compactados. Foram aconselhados a baixar a nova versão assim que uma atualização for disponibilizada.”

Veja o conteúdo completo (em inglês) no link.

Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades
http://feedproxy.google.com/~r/seginfo/~3/tFlO6rIPrcA/

Falha crítica coloca 500 milhões de usuários do WinRAR em risco por descompactar um arquivo

Falha crítica coloca 500 milhões de usuários do WinRAR em risco por descompactar um arquivo

Uma falha crítica na execução remota de código WinRAR poderia colocar 500 milhões de usuários em risco de terem seus computadores comprometidos se eles simplesmente abrissem um arquivo compactado infectado, mas a empresa por trás do WinRAR basicamente menosprezou a vulnerabilidade.

500 milhões, sim, meio bilhão de usuários do WinRAR estão em risco de serem comprometidos graças a uma falha crítica que poderia permitir que hackers assumam o controle dos computadores das vítimas. O mundo ficou em alerta por meio da lista de discussão Full Disclosure, sobre uma vulnerabilidade em execução remota de código na versão mais recente do WinRAR, 5.21. Se o bug crítico no WinRAR é explorado por um atacante, então o sistema da vítima pode ser comprometido simplesmente abrindo o arquivo.

Seja filme, música, aplicações, fotos, imagens, jogos ou qualquer outra coisa, se é um arquivo digital, então você pode provavelmente compactá-lo ou descompactá-lo. Você pode ter usado a popular ferramenta WinRAR para compactar ou descompactar um RAR, ZIP, 7Z, TAR, EXE, ISO, CAB ou outro arquivo suportado. Digamos, por exemplo, que você tem um arquivo torrent. Neste caso, se você usou a última versão do WinRAR para descompactar um arquivo que continha código malicioso, ele será executado imediatamente após descompactar o arquivo infectado. Isto poderia levar a não somente comprometer o computador, mas potencialmente também sua rede.

Se você não sabe, uma vulnerabilidade de execução remota de código é especialmente desagradável. Bugs em um sistema comum de vulnerabilidades (CVSS) com pontuação de 7 a 10 são considerados de “alta” gravidade. A falha crítica no WinRAR foi atribuída uma pontuação de 9,2 pelo pesquisador de segurança que descobriu como um usuário apenas tem de abrir um arquivo infectado para o dispositivo a ser comprometido por um invasor. Não são necessárias sofisticadas habilidades de invasão para começar a explorar. Como o procedimento para exploração deste 0-day já está divulgado, espera-se que os atacantes iniciem as explorações desta vulnerabilidade em breve.

O pesquisador iraniano de segurança Mohammad Reza Espargham, que publicou a prova de conceito (PoC) e as etapas manuais necessárias para reproduzir a exploração, explicou: “A vulnerabilidade de execução de código pode ser explorada por atacantes remotos sem uma conta de usuário com privilégios ou interação do usuário. ”

Espargham postou um vídeo, que, ironicamente, contém “fo0l” na URL, mostrando como o PoC funciona.

Pode haver algum debate, pelo menos por um invasor sobre quem realmente descobriu a falha como R-73eN alega ter publicado a mesma façanha usando Python antes que ele fosse reescrito em Perl e publicado um dia depois. R-73eN disse de sua descoberta: “Uma janela com cargas de título de notificação expirada, lembrando o usuário comprar o WinRAR para remover os anúncios. Uma vez que esta utiliza uma conexão HTTP, podemos usar [a] man-in-the-middle para ganhar a execução remota de código.”

A PoC de Espargham pode não funcionar direito fora da caixa, mas ela funciona depois de algumas mudanças. Funcionou para o pesquisador da Malwarebytes Pieter Arntz depois que ele fez “mudanças triviais.”

Arntz explicou:

Basicamente, o ataque usa a opção de escrever código HTML no visor de texto ao criar um arquivo SFX, como você pode ver abaixo:

O atacante pode usar isso para executar código malicioso no computador da pessoa que abra o arquivo SFX.

Enquanto acredita-se que uma atualização rapida seria iminente antes de os atacantes usarem a falha crítica, isso pode não acontecer. Embora Espargham acredite que todas as versões do WinRAR podem ser vulneráveis, a RARLAB, fabricante do WINRAR, pensa que o PoC é “inútil”.

“Um invasor mal-intencionado pode tomar qualquer executável, arquivá-lo e distribuir aos usuários. Este fato por si só torna uma discussão sobre vulnerabilidades em arquivos SFX inútil “, escreveu RARLAB. “É inútil procurar supostas vulnerabilidades no módulo SFX ou possíveis correções, porque, como qualquer arquivo exe, um arquivo SFX é potencialmente perigoso para o computador do usuário por design. Assim como para qualquer arquivo .exe, os usuários devem executar arquivos SFX somente se tiverem certeza de que esse arquivo é recebido de uma fonte confiável. Os arquivos SFX silenciosamente podem executar qualquer arquivo contido no arquivo exe e esta é a característica oficial necessária para instaladores de software. ”

Na verdade, RARLAB sugeriu que há formas menos complicadas de comprometer silenciosamente um usuário RAR do que usar o PoC.

Mas a Malwarebytes não menosprezou a vulnerabilidade; pelo contrário, aconselhou os usuários do WinRAR “para serem mais vigilantes ao manusearem arquivos indesejados SFX compactados. Foram aconselhados a baixar a nova versão assim que uma atualização for disponibilizada.”

Veja o conteúdo completo (em inglês) no link.

Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades
http://feedproxy.google.com/~r/seginfo/~3/gIQfDr48bNA/

Falha no WinRAR põe 500 milhões usuários em risco

Falha no WinRAR põe 500 milhões usuários em risco

Uma falha no descompactador de arquivos WinRAR põe os seus 500 milhões usuários em risco. Duas empresas de segurança digital confirmaram a existência da brecha que permite que hackers mal-intencionados promovam ataques com código malicioso visando roubos de dados quando as pessoas deszipam um arquivo. 

Segundo a Vulnerability Lab e a MalwareBytes, o ataque pode acontecer por meio de um tipo de arquivo RAR chamado SFX. que é normalmente usado na disseminação de software pirateado. O arquivo ajuda o usuário a instalar os arquivos no diretório certo ou o ensina como fazê-lo.

O truque provado em laboratório, que pode ser usado por hackers, usa instruções HTML para baixar arquivos executáveis maliciosos, que são instalados sem que o usuário perceba. A versão do WinRAR afetada pela falha é a 5.21, que é a mais recente.

A vulnerabilidade poderia ser corrigida com modificações “triviais”, de acordo com a MalwareBytes. No entanto, o posicionamento oficial da WinRAR demonstra que a empresa não tem a intenção de liberar uma correção para o seu software.

A companhia se pronunciou dizendo que “os arquivos executáveis são potencialmente perigosos por natureza” e que você só deve abri-los se vier de uma fonte confiável.

“Os arquivos WinRAR self-extracting (SFX) não são mais ou menos perigosos do que qualquer outro arquivo executável”, informou a empresa.

 

Plantão – Segurança – INFO

WinRAR Exposed to Dangerous Vulnerability: Attack Just by Unzipping Files

WinRAR Exposed to Dangerous Vulnerability: Attack Just by Unzipping Files

Short Bytes: The latest WinRAR SFX v5.21 update has a serious vulnerability that allows remote attackers to execute any malicious code on your system.

The latest release of the WinRAR software has been discovered with a serious flaw. As you unzip the SFX archive inside the RAR file, WinRAR a widely used software used to compress and decompress files, automatically executes a malicious code without your knowledge, as reported by Vulnerability Lab.

Due to this proof-of-concept code, the user is immensely susceptible to the attacks from outside. The attacker could exploit the HTML instruction view in the installer and write any malicious code on the computer that open the SFX file. Later, this executable can be run on the user’s system without their knowledge.

The flaw has been confirmed by MalwareBytes as well and the WinRAR SFX v5.21 users are advised to be careful with the random compressed SFX files.

WinRAR has confirmed the report saying, “Executable files are potentially dangerous by design. Run them only if they are received from a trustworthy source. WinRAR self-extracting (SFX) archives are not less or more dangerous than other .exe files.”

This is a serious flaw and hackers could target thousands and more users if the bug is not fixed soon. Moreover, it is very difficult to scrutinise the executable part for its authenticity.

WinRAR, by the looks of its reply, doesn’t seem bothered by the vulnerability and advises users to place putty.exe into RAR SFX archive and add following commands to archive comment:

Setup=putty.exe Silent Overwrite Path=puttyfolder

Check WinRAR lab for more information.

Download our Google chrome, Mozilla firefox and Opera extension to get instant updates –

(function(w,d,s,i){w.ldAdInit=w.ldAdInit||[];w.ldAdInit.push({slot:8011048867343975,size:[0, 0],id:”ld-8768-4244″});if(!d.getElementById(i)){var j=d.createElement(s),p=d.getElementsByTagName(s)[0];j.async=true;j.src=”//cdn2.lockerdome.com/_js/ajs.js”;j.id=i;p.parentNode.insertBefore(j,p);}})(window,document,”script”,”ld-ajs”);

The post WinRAR Exposed to Dangerous Vulnerability: Attack Just by Unzipping Files appeared first on fossBytes.

fossBytes
http://fossbytes.com/winrar-exposed-to-dangerous-vulnerability-attack-just-by-unzipping-files/