Pubblicizzata una FALSA vulnerabilità di WinRAR e del modulo auto-estraente

Supporto a WinRAR

Moderatore: Andrea

Rispondi
Andrea
Site Admin
Messaggi: 404
Iscritto il: 14 mag 2002, 18:52
Località: Bergamo
Contatta:

Pubblicizzata una FALSA vulnerabilità di WinRAR e del modulo auto-estraente

Messaggio da Andrea »

Chiariamo subito che non esiste alcuna vulnerabilità di WinRAR: chiunque utilizza questo programma NON è soggetto ad alcun rischio.
Stesso discorso per gli archivi in formato RAR o ZIP: non hanno alcuna vulnerabilità insita e quindi si possono utilizzare senza problemi.

Questo articolo è in risposta ad una segnalazione di una FALSA vulnerabilità di WinRAR e del modulo auto-estraente, segnalazione effettuata da un "sedicente esperto di sicurezza" e purtroppo riportata da molti siti frettolosamente senza eseguire una benché minima verifica.

La vera vulnerabilità coinvolta in questo documento riguarda Windows (Windows OLE MS14-064), scoperta una anno fa e già risolta a novembre 2014 da Microsoft che ha rilasciato una patch apposita.
Tale vulnerabilità riguarda Internet Explorer e tutti quei programmi che lo utilizzano per visualizzare documenti HTML: con appositi codici malevoli si può far eseguire di nascosto ad IE un qualsiasi programma.
Quindi chi aggiorna regolarmente il proprio Sistema Operativo non è soggetto neppure a questa vulnerabilità.
Microsoft non ha rilasciato la patch per Windows Xp (a seguito del suo abbandono dello sviluppo di tale S.O.) ma a seguire nell'articolo inseriremo alcuni consigli per chi utilizza ancora Windows Xp.

Quello a cui si riferisce l'articolo è la possibilità di creare un programma "malevolo" con la funzionalità del modulo auto-estraente (SFX) di WinRAR.
Chiariamo subito che questa possibilità esiste da quanto esiste RAR e WinRAR ma nessun "virus writer" l'ha mai utilizzata in quanto è poco pratica e facilmente individuabile.
Giusto per fare un esempio di una tecnica molto utilizzata, alcuni recenti "attacchi" via email avvengono allegando un archivio ZIP contenente un eseguibile (non creato ovviamente con RAR ma direttamente dai virus writer) con un nome che lo rende "simile" ad un documento PDF).

Il sedicente esperto di sicurezza afferma di riuscire a caricare nel testo da visualizzare per la descrizione dell'archivio o nel pannello di licenza (mostrati all'inizio dell'esecuzione del modulo auto-estraente) del codice malevolo che esegue un qualsiasi programma, sfruttando NON una vulnerabilità del modulo auto-estraente ma la vulnerabilità di Windows esposta ad inizio articolo (vulnerabilità già risolta da un anno).
Questo ovviamente non viene scritto dal ricercatore, pur essendone a conoscenza in quanto ha utilizzato, senza dichiararlo (a dimostrazione della sua carenza in etica professionale), il codice creato un anno fa da un vero esperto di sicurezza, R-73eN (Rio Sherri, CEO di Infogen AL), proprio per spiegare come funziona la vulnerabilità di Windows OLE.
Tra l'altro per eseguire il codice malevolo occorre che l'utente clicchi 2 volte su una riquadro di testo (nell'esempio anche vuoto): chi non desidera cliccare 2 volte su di una finestra vuota quando in fondo c'è il pulsante "Avanti"?
E come se non bastasse ha eseguito la prova su un Windows 7 non aggiornato da un anno (se l'avesse aggiornato la sua prova non avrebbe funzionato), fatto comprensibile per un ricercatore di sicurezza, ma anche questo non l'ha scritto nel suo articolo.

Inoltre, senza prendersi il disturbo di eseguire tutti i numerosi passi elencati, per far eseguire un programma in modo silenzioso dal modulo auto-estraente basta crearne uno con le seguenti 4 semplici istruzioni:

Codice: Seleziona tutto

Setup=putty.exe
Silent
Overwrite
Path=cartella_di_putty
inserendo il file Putty.exe nell'archivio. Nell'esempio viene eseguito Putty.exe, un programma di accesso ai sistemi remoti via SSH, perché è quello che nell'articolo viene eseguito come dimostrazione della falsa vulnerabilità.

Ecco perché quindi ne WinRAR ne il suo modulo auto-estraente sono affetti dalla vulnerabilità descritta e quindi non è necessaria alcuna "patch".
La vulnerabilità riguarda Windows e tale vulnerabilità, comunque risolta da Microsoft, può essere sfruttata più facilmente in altri ambiti che non nel modulo auto-estraente di WinRAR.

A dimostrazione di quanto detto, vi rimandiamo ad un articolo pubblicato da un ente di sicurezza molto più serio come Malwarebytes. Essi ammettono di aver pubblicato un primo articolo "frettolosamente", riportando l'informazione originale senza verificarla; qui ammettono il loro errore. L'articolo è in Inglese ma la traduzione eseguita da Google translator è sufficiente per capirne il significato.

Dimostrato il "non luogo a procedere" per WinRAR, ribadiamo l'importanza:
  1. di tenere sempre aggiornata la vostra versione di Windows;
  2. di non aprire mai programmi ricevuti da fonti NON affidabili: questo comportamento ha SEMPRE valore in qualsiasi contesto per evitare di incappare in virus, più che in fantomatici moduli auto-estraenti "malevoli";
  3. per gli utenti di Windows Xp (e che proprio non possono cambiarlo) consigliamo o d'utilizzare un altro browser (Chrome, Firefox, ecc.) o, se proprio dovete utilizzare Internet Explorer, di disabilitare in questo, in Opzioni > Sicurezza, i "Controlli ActiveX".
Cordialmente,

Andrea
Supporto WinRAR.it
Rispondi