Nieuws
image

WinZip was kwetsbaar voor aanvallen door onveilige updatecontrole

donderdag 10 december 2020, 15:53 door Redactie, 7 reacties

Het populaire archiveringsprogramma WinZip was kwetsbaar voor verschillende aanvallen doordat er via het onbeveiligde http op updates werd gecontroleerd. Een aanvaller had hier misbruik van kunnen maken door een malafide "update" aan te bieden. Ook bleek dat registratiegegevens via http werden verstuurd, zoals gebruikersnaam en registratiecode.

"Aangezien http onversleutelde cleartext is, kan het door iedereen die het verkeer kan zien worden onderschept, gemanipuleerd of gekaapt", zegt onderzoeker Martin Rakhmanov van securitybedrijf Trustwave. Een aanvaller op hetzelfde netwerk als de gebruiker met een kwetsbare versie van WinZip zou bijvoorbeeld door middel van technieken als "DNS poisoning" de applicatie kunnen misleiden om een malafide update te downloaden.

Een gebruiker die denkt dat het om een nieuwe versie gaat zou zo kwaadaardige code kunnen uitvoeren. In de probeerversie van WinZip wordt van tijd tot tijd een pop-up getoond. De inhoud van deze pop-up werd ook via http geladen en kon eenvoudig door een aanvaller op het netwerk worden aangepast. Wederom zou een aanvaller op deze manier een update kunnen aanbieden die in werkelijkheid malware is.

WinZip werd op 30 maart over de kwetsbaarheid in WinZip 24 ingelicht. Op 1 september verscheen WinZip 25 waarin het probleem is verholpen. Vandaag publiceerde Trustwave de details van het probleem. Gebruikers wordt aangeraden naar de nieuwste versie te upgraden.

Reacties (7)
10-12-2020, 16:43 door [Account Verwijderd]
Het populaire archiveringsprogramma WinZip was kwetsbaar voor verschillende aanvallen doordat er via het onbeveiligde http op updates werd gecontroleerd.

Watte? Een applicatie die zelf op updates controleert? Dat doet het besturingssysteem toch met de package manager? Het zelf controleren op updates is dubbelop en je loopt het risico dat je uit de pas gaat lopen. Of ben ik nou gek?
10-12-2020, 18:00 door karma4
Door Toje Fos:
Het populaire archiveringsprogramma WinZip was kwetsbaar voor verschillende aanvallen doordat er via het onbeveiligde http op updates werd gecontroleerd.

Watte? Een applicatie die zelf op updates controleert? Dat doet het besturingssysteem toch met de package manager? Het zelf controleren op updates is dubbelop en je loopt het risico dat je uit de pas gaat lopen. Of ben ik nou gek?
Je kunt het beter gecontroleerd doen dan klk klik aan wat voor operating systeem dan ook.
Het grootste lek zijn nog altijd die open verbindingen naar het externe uitbestede beheer en operatie.
10-12-2020, 20:08 door Anoniem
Bijzonder eigenlijk dat met het bestaan van EvilGrade http-updates niet al ten einde zijn gebracht.
Maar blokkeer voor de grap maar eens poort 80 verkeer voor een dag en zie hoeveel applicaties nog over deze poort proberen te updaten.
10-12-2020, 21:32 door Anoniem
Wie gebruikt er nog WinZip
11-12-2020, 11:05 door Anoniem
Door Toje Fos: Watte? Een applicatie die zelf op updates controleert? Dat doet het besturingssysteem toch met de package manager? Het zelf controleren op updates is dubbelop en je loopt het risico dat je uit de pas gaat lopen. Of ben ik nou gek?
Nee, je bent niet gek als je de voordelen van een package manager inziet, maar je weet denk ik donders goed dat dat goed werkt omdat Linux-distributies organisaties zijn die software bundelen tot een goed op elkaar afgestemd geheel en die actief aan kwaliteitsbewaking op zowel de onderdelen als op het geheel doen. De Windows-wereld heeft dat model niet en dus ook de voordelen ervan niet. Beetje vreemd om daar verbaasd over te spelen, dat wist je allang als je niet onder een steen hebt geleefd.

Binnen dat Windows-model is het niet anders dan dat applicaties zelf op hun updates controleren, en dat kan ook best goed gaan. Het probleem is hier niet dat het niet over http in plaats van https gebeurde. Het is namelijk prima mogelijk voor een leverancier om updates digitaal te ondertekenen en voor het update-proces dat op een client-computer draait om die handtekening te controleren.

Door karma4: Je kunt het beter gecontroleerd doen dan klk klik aan wat voor operating systeem dan ook.
Het grootste lek zijn nog altijd die open verbindingen naar het externe uitbestede beheer en operatie.
En jij zou ook beter moeten weten. Toje Fos heeft het over package managers, en dan heb je het niet over open verbindingen naar uitbesteed beheer en operatie maar over de manier waarop vele Linux-distributies het softwarebeheer regelen. Die werken al vele jaren met digitale handtekeningen, zodat elke installatie en elke upgrade die via dat mechanisme verloopt de kwetsbaarheid in dit artikel domweg niet heeft, zelfs niet als het via een mirror gaat, zelfs niet via een onofficiële mirror, zelfs niet over http, zolang de digitale handtekeningen maar mee worden gedistribueerd en de package manager erop controleert, en dat is hoe het werkt. Het is een flexibel en robuust mechanisme.
11-12-2020, 17:38 door Anoniem
Door Toje Fos:
Het populaire archiveringsprogramma WinZip was kwetsbaar voor verschillende aanvallen doordat er via het onbeveiligde http op updates werd gecontroleerd.

Watte? Een applicatie die zelf op updates controleert? Dat doet het besturingssysteem toch met de package manager? Het zelf controleren op updates is dubbelop en je loopt het risico dat je uit de pas gaat lopen. Of ben ik nou gek?

Er leiden meer wegen naar Rome. Uitzonderlijk of ongebruikelijk is het absoluut niet.
12-12-2020, 14:36 door Anoniem
Door Anoniem:
Door karma4: Je kunt het beter gecontroleerd doen dan klk klik aan wat voor operating systeem dan ook.
Het grootste lek zijn nog altijd die open verbindingen naar het externe uitbestede beheer en operatie.
En jij zou ook beter moeten weten. Toje Fos heeft het over package managers, en dan heb je het niet over open verbindingen naar uitbesteed beheer en operatie maar over de manier waarop vele Linux-distributies het softwarebeheer regelen. Die werken al vele jaren met digitale handtekeningen, zodat elke installatie en elke upgrade die via dat mechanisme verloopt de kwetsbaarheid in dit artikel domweg niet heeft, zelfs niet als het via een mirror gaat, zelfs niet via een onofficiële mirror, zelfs niet over http, zolang de digitale handtekeningen maar mee worden gedistribueerd en de package manager erop controleert, en dat is hoe het werkt. Het is een flexibel en robuust mechanisme.
Ja precies en zo werkt het bij Windows Update ook. Dat werkt ook gewoon over http. Het voordeel is ook dat als je een
caching proxy hebt je de updates maar 1 keer hoeft op te halen voor meerdere machines.

Eigenlijk is het probleem alleen dat er geen alternatieve package sources in dat mechanisme zijn. In Linux kun je
veelal alternatieve sources toevoegen inclusief signing key. Dan kun je ook software die buiten de distributie valt
op dezelfde manier updaten. Maar Microsoft ondersteunt dat niet, waarschijnlijk zijn ze bang dat er een schijn is
dat ze op de een of andere manier verantwoordelijk zijn voor die sources.

Dus moet iedereen het zelf regelen. Met als nadeel dat er ook weer verschillende services draaien met elevated
rights om dat allemaal te doen. Dat kan beter, maar ja wie interesseert dat (die er ook nog aan kan verdienen)?

Blijft het feit dat het fout is dat een updater code downloadt en installeert zonder de herkomst en correctheid te
checken met een signature. DAT is de fout, niet dat het over http gaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure