Investigadores de Check Point descubren una vulnerabilidad en WinRAR que pone en riesgo los datos de 500 millones de usuarios

checkpoint_winrar.jpgLos investigadores de Check Point® Software Technologies Ltd., proveedor líder especializado en ciberseguridad a nivel mundial, han descubierto una nueva vulnerabilidad en WinRAR, una herramienta para el sistema operativo Windows con más de 500 millones de usuario que permite crear y visualizar documentos en formatos RAR o ZIP, así como descomprimir numerosos archivos en distintos formatos. Esta nueva vulnerabilidad, que ha existido durante casi 2 décadas, fue descubierta al utilizar un fuzzer de WinAFL en WinRAR, permite extraer registros de los usuarios de esta aplicación.

El equipo de Check Point señala que una de las vulnerabilidades que encontraron tenía su origen en una antigua dll de 2006 que no contaba con mecanismos de protección (como ASLR, DEP, etc.). El análisis de esta dll se centraba en encontrar un bug de corrupción de memoria que pudiese utilizarse para ejecutar código de forma remota Durante una de las pruebas el fuzzer descubrió un caso con un comportamiento extraño y, tras investigarlo, los investigadores de Check Point encontraron un error lógico de tipo: “Absolute Path Traversal”. A partir de aquí era sencillo aprovechar esta vulnerabilidad para generar una ejecución remota de código.

¿Cuáles han sido los procesos para detectar esta vulnerabilidad?
1. Creación de un armazón interno dentro de la función principal de WinRAR que permite fusionar cualquier tipo de archivo, sin necesidad de generar uno específico para cada formato, mediante parcheo del ejecutable WinRAR.

2. Elimina elementos gráficos de interfaz de usuario (GUI, Graphical User interface) como cuadros de mensajes y cuadros de diálogo que requieren la interacción del usuario, mediante la aplicación de parches en el ejecutable WinRAR. Algunos de estos cuadros de mensaje aparecen incluso en el modo CLI de WinRAR.

3. Seleccionar un conjunto de formatos de archivo de una investigación muy interesante dirigida en 2005 por la Universidad de Oulu, https://www.ee.oulu.fi/roles/ouspg/PROTOS_Test-Suite_C10-archive

4. Hacer fuzz en el programa con WinAFL para descubrir errores de código usando las opciones de línea de comandos de WinRAR para obligar al programa a analizar el “archivo roto” y establecer una contraseña predeterminada,

“Tras llevar a cabo todos estos pasos encontramos varios fallos en un corto periodo de tiempo, fundamentalmente debido a la extracción de varios formatos de archivo como RAR, LZH y ACE como consecuencia de la vulnerabilidad de corrupción de memoria (como escritura fuera de límites)”, señalan desde Check Point. “Asimismo, encontramos que WinRAR utiliza un dll llamado “unacev2.dll” para analizar los archivos ACE, pero que este sistema no cuenta con ningún mecanismo de protección moderna como ASLR, DEP, etc…”, añaden.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.