Nieuws
image

Malwarebytes verwijdert blogposting over WinRAR-lek

donderdag 8 oktober 2015, 11:06 door Redactie, 5 reacties

Malwarebytes heeft een blogposting over een beveiligingslek in WinRAR verwijderd, omdat de geplaatste informatie onjuist was. Het anti-malwarebedrijf maakt daarbij ook excuses aan WinRAR. Onlangs gaf een onderzoeker een demonstratie waarbij hij via een kwaadaardig SFX-archief computers kon overnemen.

WinRAR is een zeer populair programma voor het in- en uitpakken van bestanden. Naast het standaard RAR-archief kan de software ook een Self Extractable (SFX) archief maken. In dit geval wordt het archiefbestand automatisch uitgepakt als de gebruiker het bestand opent, ongeacht of hij WinRAR geïnstalleerd heeft of niet. SFX-archieven zijn in principe gewoon exe-bestanden en bestaan uit het ingepakte bestand en de uitpakmodule van WinRAR.

Het Nationaal Cyber Security Center (NCSC) van de overheid besloot vanwege de kwetsbaarheid een waarschuwing af te geven. In tegenstelling tot wat sommige media berichten speelt het probleem niet alleen bij gebruikers van WinRAR, maar bij alle Windowsgebruikers die een kwaadaardig SFX-archief ontvangen. Volgens RARLAB, ontwikkelaar van WinRAR, moeten gebruikers bij het openen van exe-bestanden, of het nu een SFX-archief is of niet, altijd voorzichtig zijn.

Nu stelt Malwarebytes dat de informatie in de blogposting niet goed was gecontroleerd. Achteraf blijkt die niet te kloppen. De gedemonstreerde aanval was namelijk niet gericht tegen WinRAR-gebruikers. Daarnaast moeten gebruikers de malware zelf dubbelklikken voordat die wordt geactiveerd. Verder blijkt dat de kwetsbaarheid die bij de aanval wordt gebruikt vorig jaar november al door Microsoft was gepatcht. Malwarebytes maakt dan ook excuses aan RARLAB en heeft besloten de blogposting over de kwetsbaarheid te verwijderen. De posting is echter nog wel in de cache van Google terug te vinden.

Reacties (5)
08-10-2015, 11:37 door Anoniem
Moest wel een keer fout gaan met de Hype-PR van Malwarebytes. Voorzie dat het binnenkort wel niet meer gratis zal zijn,
08-10-2015, 11:47 door Anoniem
Zoals we al eerder hadden vastgesteld; de sfx gebruikt een IE instance, die voorzien kan worden van HTML/Script. Winrar zelf heeft slechts een textveld, en geeft de HTML/Script weer als platte tekst.

Een sfx uitpakken met Winrar zelf is dus het veiligst. Een onbekende executable uitvoeren is natuurlijk altijd een risico ook al is het een sfx.

"WinRAR SFX module displays HTML in start dialog,"
08-10-2015, 12:50 door Anoniem
Zoals RARLAB al aangaf is het een feature van de SFX-bestanden die WinRAR genereert om programma's uit te kunnen voeren zodra het zelf-uitpakkende .exe-bestand de bestanden op de computer heeft geplaatst. (http://www.rarlab.com/vuln_sfx_html.htm.) Het enige dat Malwarebytes heeft gevonden is een ingewikkelde manier om iets te doen wat ook met enkele simpele commando's kan, namelijk een door WinRAR gegenereerd .exe-bestand andere programma's te laten starten.
08-10-2015, 16:01 door Anoniem
Ondeskundigheid troef.

Het is geen kwetsbaarheid van WinRAR, maar een kwetsbaarheid van Windows OLE.

Deze werd (eindelijk !!!!!) door MS gerepareerd in november 2014:

https://technet.microsoft.com/en-us/library/security/ms14-064.aspx
09-10-2015, 00:46 door Anoniem
Door Anoniem: Zoals RARLAB al aangaf is het een feature van de SFX-bestanden die WinRAR genereert om programma's uit te kunnen voeren zodra het zelf-uitpakkende .exe-bestand de bestanden op de computer heeft geplaatst. (http://www.rarlab.com/vuln_sfx_html.htm.) Het enige dat Malwarebytes heeft gevonden is een ingewikkelde manier om iets te doen wat ook met enkele simpele commando's kan, namelijk een door WinRAR gegenereerd .exe-bestand andere programma's te laten starten.
Reeds meegeleverde code UITVOEREN (injecteren) is net een klein beetje anders dan een reeds geïnstalleerd programma starten... Just saying.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search