Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 4840-й день

 Критическая уязвимость в WinRAR

Koka-ftp
Feb 21 2019, 11:36
  
Пост #1



Репутация:   858  
Старожил
****

Группа: Пользователи
Сообщений: 3 095
С нами с: 10-April 08


Open in new window


Для успешной атаки злоумышленнику потребуется просто убедить жертву распаковать вредоносный архив с помощью WinRAR.

Специалисты компании Check Point раскрыли информацию о критической уязвимости в популярном архиваторе для Windows, аудитория которого насчитывает более полумиллиарда пользователей по всему миру, позволяющей выполнить код на целевой системе. Для успешной атаки злоумышленнику потребуется всего лишь обманом заставить жертву распаковать вредоносный архив.

Уязвимость обхода каталога, получившая несколько идентификаторов (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253), затрагивает все версии WinRAR, выпущенные за последние 19 лет. Проблема кроется в устаревшей сторонней библиотеке UNACEV2.DLL, используемой архиватором для распаковки файлов в формате ACE. Поскольку WinRAR распознает формат по содержимому файла, а не его расширению, атакующим потребуется всего лишь изменить расширение .ace на .rar, чтобы замаскировать вредоносный архив.
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем. Таким образом они могут поместить вредоносный код в папку автозагрузки Windows, который будет автоматически выполняться при каждой загрузке системы. Как видно на видео ниже, для полной компрометации системы злоумышленнику потребуется просто убедить пользователя распаковать вредоносный архив с помощью WinRAR.

Подробнее: https://www.securitylab.ru/news/498047.php?...AN62wFM6T0ga1GY
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
 
Reply to this topicStart new topic
Ответов(1 - 15)
Allex
Feb 21 2019, 12:20
  
Пост #2

Благодарности: 347

Репутация:   1399  
Sphynx in Mirror
******

Группа: Модеры
Сообщений: 22 699
С нами с: 2-February 07


Блокировать эту уязвимость просто - удалить UNACEV2.DLL.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
kym
Feb 21 2019, 12:32
  
Пост #3



Репутация:   722  
Ветеран
*****

Группа: VIP
Сообщений: 6 598
С нами с: 12-March 07


удалить откуда?
я такие библиотеки нашел во вьюверах adc и xnview, в тоталкоммандере, в винраре вестимо...
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Koka-ftp
Feb 21 2019, 13:22
  
Пост #4



Репутация:   858  
Старожил
****

Группа: Пользователи
Сообщений: 3 095
С нами с: 10-April 08


(kym @ Feb 21 2019, 12:32) Перейти к цитате

удалить откуда?
я такие библиотеки нашел во вьюверах adc и xnview, в тоталкоммандере, в винраре вестимо...

\WinRAR\Formats
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Allex
Feb 21 2019, 13:58
  
Пост #5

Благодарности: 347

Репутация:   1399  
Sphynx in Mirror
******

Группа: Модеры
Сообщений: 22 699
С нами с: 2-February 07


(kym @ Feb 21 2019, 12:32) Перейти к цитате

удалить откуда?
я такие библиотеки нашел во вьюверах adc и xnview, в тоталкоммандере, в винраре вестимо...

Вот отовсюду и удалить.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
kym
Feb 21 2019, 14:05
  
Пост #6



Репутация:   722  
Ветеран
*****

Группа: VIP
Сообщений: 6 598
С нами с: 12-March 07


Вот отовсюду и удалить.

т.е. ты утверждаешь, что эта длл заведома троян?
а проги без нее свое назначение будут выполнять?
походу изначально библиотека нужна таки для просмотра

\WinRAR\Formats

понял
начнем отседова...


кстати, аж слезу пустил...
винрар у меня аж 2003 года, во всяком случае по файлам егойным
это уже тогда троян вписали?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Koka-ftp
Feb 21 2019, 14:11
  
Пост #7



Репутация:   858  
Старожил
****

Группа: Пользователи
Сообщений: 3 095
С нами с: 10-April 08


(kym @ Feb 21 2019, 14:05) Перейти к цитате


это уже тогда троян вписали?

это не троян а уязвимость smile.png
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
kym
Feb 21 2019, 14:14
  
Пост #8



Репутация:   722  
Ветеран
*****

Группа: VIP
Сообщений: 6 598
С нами с: 12-March 07


понял
длл из винрарар удалил
файлы по расширениям его папки форматс открывает
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
imenno
Feb 21 2019, 20:54
  
Пост #9



Репутация:   864  
Мистер Равлик
******

Группа: Пользователи
Сообщений: 12 620
С нами с: 24-March 06


в любом случае эту экзешку видно в архиве, может просто не распаковывать все подряд, а открыть в раре и посмотреть, что внутри smile.png
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Allex
Feb 21 2019, 21:58
  
Пост #10

Благодарности: 347

Репутация:   1399  
Sphynx in Mirror
******

Группа: Модеры
Сообщений: 22 699
С нами с: 2-February 07


(kym @ Feb 21 2019, 14:05) Перейти к цитате

т.е. ты утверждаешь, что эта длл заведома троян?

Не троян, а уязвимость.

И да, если Total будет открывать такой же сконструированный ACE архив через нее - она сработает так же, как и в WinRAR.

Потому - удалить ее стоит из всех мест, где она встречается.

а проги без нее свое назначение будут выполнять?

Нет, ACE они разбирать без нее не смогут. Остальное - должно остаться без изменений.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
melll
Feb 22 2019, 14:03
  
Пост #11



Репутация:   0  
Дух


Группа: Пользователи
Сообщений: 28
С нами с: 12-April 11


(kym @ Feb 21 2019, 12:32) Перейти к цитате

удалить откуда?



https://aback.com.ua/31744-Uyazvimost-WinRA...lzovateley.html
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
zeppelin
Feb 22 2019, 14:35
  
Пост #12



Репутация:   10  
Дух


Группа: Пользователи
Сообщений: 60
С нами с: 16-March 06


А кто пользуется архивами ACE?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Koka-ftp
Feb 22 2019, 14:36
  
Пост #13



Репутация:   858  
Старожил
****

Группа: Пользователи
Сообщений: 3 095
С нами с: 10-April 08


(zeppelin @ Feb 22 2019, 14:35) Перейти к цитате

А кто пользуется архивами ACE?

вопрос не в том "кто пользуется", а кто "мог-бы":)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
imenno
Feb 22 2019, 20:32
  
Пост #14



Репутация:   864  
Мистер Равлик
******

Группа: Пользователи
Сообщений: 12 620
С нами с: 24-March 06


(zeppelin @ Feb 22 2019, 14:35) Перейти к цитате

А кто пользуется архивами ACE?

могут подкинуть архив "ace" с расширением "rar" и делов то. архиватор не смотрит на расширение файла, а на структуру что внутри и ему все равно какое расширение, распаковал его думая что это рар, а это был эйс и файлик шпионский уже в автозагрузке или еще где либо.

Сообщение отредактировал imenno - Feb 22 2019, 20:33
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Barnum
Feb 23 2019, 12:36
  
Пост #15

Благодарности: 583579

Репутация:   2470  
Twinsen
*****

Группа: Модеры
Сообщений: 7 790
С нами с: 6-May 06


Начиная с 5.70b1 winrar отказался от поддержки ace:
17. Nadav Grossman из компании Check Point Software Technologies сообщил нам об угрожающей безопасности уязвимости в библиотеке UNACEV2.DLL. Данная уязвимость позволяет создавать файлы в произвольных папках внутри или вне целевой папки при распаковке архивов ACE.

WinRAR использовал эту библиотеку стороннего разработчика для распаковки архивов ACE. Библиотека UNACEV2.DLL не обновлялась с 2005 года, и у нас нет доступа к её исходному коду. По этой причине мы решили отказаться от поддержки архивного формата ACE, чтобы не подвергать риску пользователей WinRAR.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
kym
Feb 23 2019, 17:57
  
Пост #16



Репутация:   722  
Ветеран
*****

Группа: VIP
Сообщений: 6 598
С нами с: 12-March 07


так получается, что и в парке формс также надо удалить и файлик ace.fmt
ибо он нафик не нужен
кстати там же нет ничего, что явно укажет на архив в рар

Сообщение отредактировал kym - Feb 23 2019, 17:57
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

Reply to this topicStart new topic

 



- Упрощённая версия
Сейчас: 16th June 2019 - 5:18
Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами и мы удалим её. Файлы для обмена предоставлены пользователями сайта.