image

Symantec: WinRAR-lek minder erg dan gedacht

donderdag 1 oktober 2015, 11:51 door Redactie, 7 reacties

Een beveiligingslek in het populaire archiveringsprogamma WinRAR waarvoor nog geen update beschikbaar is en waarvoor onlangs nog het Nationaal Cyber Security Center (NCSC) van de overheid waarschuwde is minder erg dan gedacht, zo stellen Symantec en ontwikkelaar RARLAB.

WinRAR is een zeer populair programma voor het in- en uitpakken van bestanden. Naast het standaard RAR-archief kan de software ook een Self Extractable (SFX) archief maken. In dit geval wordt het archiefbestand automatisch uitgepakt als de gebruiker het bestand opent, ongeacht of hij WinRAR geïnstalleerd heeft of niet. SFX-archieven zijn in principe gewoon exe-bestanden en bestaan uit het ingepakte bestand en de uitpakmodule van WinRAR. Door gebruikers een kwaadaardig SFX-archief te laten openen kan een aanvaller willekeurige code met de rechten van de ingelogde gebruiker uitvoeren, zoals deze video laat zien.

De kwetsbaarheid maakt het namelijk mogelijk om bij het openen van het SFX-archief automatisch code van de aanvaller uit te laten voeren, zoals het downloaden en installeren van malware. In tegenstelling tot wat sommige media berichten speelt het probleem niet alleen bij gebruikers van WinRAR, maar bij alle Windowsgebruikers die een kwaadaardig SFX-archief ontvangen. Volgens Symantec en RARLAB, ontwikkelaar van WinRAR, moeten gebruikers bij het openen van exe-bestanden, of het nu een SFX-archief is of niet, altijd voorzichtig zijn.

RARLAB stelt in een verklaring dat er veel eenvoudigere manieren zijn om gebruikers via een kwaadaardig SFX-archief aan te vallen. Gebruikers krijgen dan ook het advies om geen onverwachte bestanden of bestanden van onbekende of onbetrouwbare bronnen te openen. De ontwikkelaar van WinRAR is dan ook niet van plan om de optie te verwijderen waar de nu getoonde aanval gebruik van maakt, aangezien dit alleen legitieme gebruikers zou raken.

Reacties (7)
01-10-2015, 12:13 door Anoniem
... Daarnaast is een SFX ook nog gewoon uit te pakken met Winrar zelf, dat als trial weer gratis te downloaden is.
01-10-2015, 12:34 door Anoniem
OS-bouwers, let op: Alle programma's van buitenaf dienen altijd in een sandbox gedraaid te worden!
01-10-2015, 13:08 door Erik van Straten
Door Anoniem: ... Daarnaast is een SFX ook nog gewoon uit te pakken met Winrar zelf, dat als trial weer gratis te downloaden is.
Ik heb ergens (ik weet niet meer waar) de suggestie gelezen dat als je een gemanipuleerd WinRAR-SFX-exe bestand met behulp van WinRAR uitpakt (dus de exe file niet opstart), er ook code uitgevoerd wordt. Echter, het aantal mensen dat dit doet (die jouw tip niet gelezen hebben) zal vermoedelijk niet zo groot zijn.
01-10-2015, 13:17 door Anoniem
Door Erik van Straten:
Door Anoniem: ... Daarnaast is een SFX ook nog gewoon uit te pakken met Winrar zelf, dat als trial weer gratis te downloaden is.
Ik heb ergens (ik weet niet meer waar) de suggestie gelezen dat als je een gemanipuleerd WinRAR-SFX-exe bestand met behulp van WinRAR uitpakt (dus de exe file niet opstart), er ook code uitgevoerd wordt. Echter, het aantal mensen dat dit doet (die jouw tip niet gelezen hebben) zal vermoedelijk niet zo groot zijn.

Het enige dat Winrar in eerste instantie van een .rar (of sfx) bestand leest is de info. Dit is de tabel met de bestandsnamen, daarna de pointer en lengte van iedere file in het .rar bestand. Daarna wordt de data (vanaf Pointer, tot de Lengte) al decomprimerend weggeschreven. De Uitpakcode in een sfx bestand wordt dan volkomen genegeerd wat mij betreft.
01-10-2015, 17:19 door Erik van Straten - Bijgewerkt: 01-10-2015, 17:20
Door Anoniem:
Door Erik van Straten:
Door Anoniem: ... Daarnaast is een SFX ook nog gewoon uit te pakken met Winrar zelf, dat als trial weer gratis te downloaden is.
Ik heb ergens (ik weet niet meer waar) de suggestie gelezen dat als je een gemanipuleerd WinRAR-SFX-exe bestand met behulp van WinRAR uitpakt (dus de exe file niet opstart), er ook code uitgevoerd wordt. Echter, het aantal mensen dat dit doet (die jouw tip niet gelezen hebben) zal vermoedelijk niet zo groot zijn.

Het enige dat Winrar in eerste instantie van een .rar (of sfx) bestand leest is de info. Dit is de tabel met de bestandsnamen, daarna de pointer en lengte van iedere file in het .rar bestand. Daarna wordt de data (vanaf Pointer, tot de Lengte) al decomprimerend weggeschreven. De Uitpakcode in een sfx bestand wordt dan volkomen genegeerd wat mij betreft.
De "exploit" bestaat eruit dat HTML code (met daarin VBScript) getoond wordt die de aanvaller aan de RAR file toevoegt.

Ik ben geen WinRAR gebruiker en wist dus ook niet hoe WinRAR met die HTML om zou gaan als je een RAR file met dergelijke HTML erin in WinRAR opent (dus niet de exe file start).

Zojuist heb ik daarnaar gekeken door van een willekeurige tekstfile "test.txt" een SFX "test.exe" te maken en daar HTML code aan toe te voegen als volgt, uit http://seclists.org/fulldisclosure/2015/Sep/106:
Mon, 28 Sep 2015 10:23:26 +0200, naar verluidt door Vulnerability Lab <research () vulnerability-lab com>:
2. Right Click on any file and select "add to archive..."
3. Select "Create SFX archive"
4. Go to the Advanced Menu and select "SFX options..."
5. Go to the "Text and icon" Menu
en de volgende tekst in te voegen:
<html>
<body>
Test<br/><b>Test</b>
<br/>
<img src="https://www.security.nl/image/view/5506/small/detail.png"/>
</body>
</html>

Het resultaat is dat als ik test.exe uitvoer, er daadwerkelijk HTML wordt geïnterpreteerd (o.a. het plaatje van Security.nl wordt opgehaald en getoond), d.w.z. voordat er iets wordt uitgepakt.

Echter, als ik test.exe open in WinRAR verschijnt er rechts een venster met de volgende inhoud:
;The comment below contains SFX script commands

Text
{
<body>
Test<br/><b>Test</b>
<br/>
<img src="https://www.security.nl/image/view/5506/small/detail.png"/>
</body>
</html>

}
Mijn punt was dat als WinRAR op dat moment ook HTML had geïnterpreteerd, het om een enigszins ernstige kwetsbaarheid zou kunnen gaan (immers voorzichtige mensen zouden WinRAR kunnen gebruiken om te kijken wat er in een SFX exe zit alvorens deze uit te voeren). Je hebt gelijk, dit lijkt hier niet aan de orde, dus wat ik er ergens over gelezen heb, klopt waarschijnlijk niet.

Het lijkt er overigens wel op dat WinRAR gebruik maakt van Internet Explorer functionaliteit op je PC voor het interpreteren van HTML (met alle risico's van dien, met name als je IE niet heb dichtgetimmerd omdat je toch altijd Firefox o.i.d. gebruikt).

Deze PoC lijkt me echter steeds meer om een hoax te gaan, want als je de BASE64 "exploit" code uitpakt staat daar een enorme hoop irrelevante code in. Ook ontgaat me waarom je hiervoor (met Perl) een soort locale webserver zou moeten draaien. Verder is het bezopen om in 1 post te spreken van 3 verschillende CVSS scores: 9, 92. en 7.4. De relatie met de in de PoC genoemde "MS14-064" ontgaat mij ook.

Het lijkt allemaal vooral bedoeld om de media gek te maken, en dat lijkt aardig gelukt. Het enige "nut" van deze exploit dat ik zie is dat script kiddies, zonder programmeerkennis, mogelijk een kwaadaardige exe file kunnen maken die op een legitieme WinRAR SFX lijkt.

Overigens zou dat een stuk gevaarlijker zijn als de WinRAR SFX code van een authenticode certificaat zou zijn voorzien, maar dat is gelukkig niet het geval. Nb. om Microsoft's MS13-098 jouw PC te laten beschermen tegen ondertekende -doch gemanipuleerde- bestanden, moet je nog steeds een registerwijziging aanbrengen. En als je dat doet, is zo'n gemanipuleerd bestand niet te onderscheiden van een unsigned bestand - het "Digital Signatures" tabblad in file -> properties ontbreekt dan gewoon als het bestand is gemanipuleerd (voor meer info zie https://www.security.nl/posting/398401/Microsoft+verschuift+blokkade+oude+Java-versies+in+IE#posting398405).
01-10-2015, 17:27 door Erik van Straten
01-10-2015, 22:36 door Anoniem
Mooie toevoeging, Erik, dan k je wel.

Het verschil tussen Winrar en de SFX, is dat Winrar een tekstveld heeft om toegevoegde tekst te tonen (en dus html of een script als platte tekst toont), en dat de SFX een Internet Explorer instance gebruikt om de toegevoegde tekst te tonen, en *dat* interpreteert de html code nu wel.

Kudos!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.