Onderzoeker maakt kwaadaardig SFX-archief via WinRAR
Via een lek in het populaire archiveringsprogramma WinRAR is het mogelijk om een kwaadaardig SFX-archief te maken waarmee willekeurige internetgebruikers zijn aan te vallen, zo waarschuwt het Nationaal Cyber Security Center (NCSC), maar volgens de ontwikkelaars van de software gaat het om een feature.
WinRAR is een zeer populair programma voor het in- en uitpakken van bestanden. Naast het standaard RAR-archief kan de software ook een Self Extractable (SFX) archief maken. In dit geval wordt het archiefbestand automatisch uitgepakt als de gebruiker het bestand opent, ongeacht of hij WinRAR geïnstalleerd heeft of niet. Door gebruikers een kwaadaardig SFX-archief te laten openen kan een aanvaller willekeurige code met de rechten van de ingelogde gebruiker uitvoeren.
De kwetsbaarheid wordt veroorzaakt doordat een aanvaller bij het maken van een SFX-archief kwaadaardige HTML-code aan de "Text to display in SFX window" optie kan toevoegen. Hiermee kan een aanvaller code opgeven die bij het openen van het SFX-bestand automatisch wordt uitgevoerd, zoals het downloaden en uitvoeren van een exe-bestand. Volgens het Duitse Heise gaat het om een gedocumenteerde feature van de SFX-optie. De ontwikkelaars van WinRAR zouden dan ook geen reden zien om het downloaden van uitvoerbare bestanden via het web te voorkomen.
1) WinRAR unrar module
2) rar archief
Uitgepakte bestanden kunnen direct worden uitgevoerd indien geïnstrueerd, een functie die veel wordt gebruikt bij drivers in SFX-archieven. WinRAR heeft dus een punt; dit is een feature.
Wel lelijk, maar als je .exe bestanden gaat uitvoeren moet je als gebruiker begrijpen dat er letterlijk echt van alles kan worden uitgevoerd.
Gaat om het veldje: maak een archive, vink General -> create SFX archive aan -> tab Advanced knop SFX options -> tab Text and Icon -> voer kwaadaardige code in "Text to display in SFX window"
Ik snap dat ze het een feature noemen, maar waarom is het niet gewoon tekst maar kan er code vanuit worden uitgevoerd?
Als het al jaren bekend is, waarom gaat de overheid dan via het ncsc hiervoor waarschuwen, doet een onderzoeker moeite en schrijft Heise erover??? En ook al is het bekend, lijkt me handig dat hier nogmaals voor gewaarschuwd wordt. Ik zal nooit meer een sfx openen.
Tja kennelijk is die wereld behoorlijk van het padje. Een zelfuitpakkend bestand is, zoals al geschreven, gewoon een
programma. Als je dat download en uitvoert dan gelden daar de gebruikelijke waarschuwingen voor. Dat het een WinRAR
zelfuitpakkend archief is maakt verder niet uit.
Daar een speciaal geval van maken bij waarschuwingen maakt het voor de arme gebruiker allemaal alleen maar onduidelijker,
niet doen dus. Doet men het wel dan is het belang niet de gebruiker maar het eigen belang (aandacht).
Stel je niet zo aan ja, er is wel meer bekend waar niet voor gewaarschuwd wordt wat ook jou computer met één visite op een gehackte webserver je computer kan kosten..
Hé, ik bedoel maar. Nog iets. NCSC-NL komt voor mij niet serieus en professioneel over. Echt niet hoor, bedoel maar als ze mensen waarschuwen voor nep mailtjes, onveilig wifi en bladie bladie bla... Dat kon mijn buurvrouw amper wast van computers weet nog vertellen... Ik lees verder niks over ontwikkelingen tegen bankfraude en dat soort zooi. Ik zie alleen een hoor negatieve troep, zoals de EU die een anti-cybercrime team wilt vormer met mooie wetten die terug hacken legaal maken (hoezo kinderachtig) en raids veel sneller te laten gebeuren.
Als men (NCSC) nou eens een browser zou ontwikkelen in een "kiosk / sandbox" waar die niet modified, ram scraped of sniffed/injected kon worden zou dat wel eens wat nuttigs zijn om over te tweeten in plaats van slapende idioten proberen wakker te maken want die ontwaken toch niet. Maar nee, ze ontwikkelen geen technology die het eenvoudig te "vangen" beter gezegd te hacken geld voorkomt, maar ze verpesten het internet.
NCSC zou eens blik mogen gooien op pos systemen, firmware's ervan skimmers, fraudeurs ..
Ja, natuurlijk is het zo dat je malware in een archief kan verpakken wat vervolgens uit te voeren is. Alleen... dat is nu net niet wat hier aan de hand is. Het gaat hier om de (volgens winrar) feature, dat je html code kan verpakken in het text vak (wat als preview kan dienen tijdens, voor of na het openen van het archief. Met deze HTML code kan vervolgens een externe link worden geopend (automatisch) waardoor de malware wordt uitgevoerd. Er zit dus geen malware in de SFX, maar deze wordt extern aangeroepen.
Lezen is ook een kunst.
@19:50, en @15:58: dat is natuurlijk een goede vraag en het is ook niet voor niets dat dit in het nieuws gekomen is.
@rest, Ik ben blij dat jullie niet in mijn team security professionals werken (hoop ik, anders snel evaluatiegesprekje?)
Ja, natuurlijk is het zo dat je malware in een archief kan verpakken wat vervolgens uit te voeren is. Alleen... dat is nu net niet wat hier aan de hand is. Het gaat hier om de (volgens winrar) feature, dat je html code kan verpakken in het text vak (wat als preview kan dienen tijdens, voor of na het openen van het archief. Met deze HTML code kan vervolgens een externe link worden geopend (automatisch) waardoor de malware wordt uitgevoerd. Er zit dus geen malware in de SFX, maar deze wordt extern aangeroepen.
Lezen is ook een kunst.
@19:50, en @15:58: dat is natuurlijk een goede vraag en het is ook niet voor niets dat dit in het nieuws gekomen is.
@rest, Ik ben blij dat jullie niet in mijn team security professionals werken (hoop ik, anders snel evaluatiegesprekje?)
CVE-2014-2720
CVE-2006-3912
Dit wil ook weer niet meteen zeggen dat het de software slecht maakt, want elke software heeft ooit in zijn lifecycle al eens een bug/fout gehad die misbruikt is of kon worden.
En dat is denk ik nog niet eens alles, want de cve van 2014 staat niet in de mitre database.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
