19 let stará díra v knihovně pro rozbalování archivů ACE má dopad nejen na WinRAR

19. 3. 2019

Sdílet

Nalezená díra je aktivně zneužívána, takže report nelze brát vyloženě na lehkou váhu. Některé nástroje, které archivy ACE podporovaly, od podpory upouští. Platí to zejména pro WinRAR, jenž byl předmětem zkoumání firmy Check Point.

Dne 20. února společnost Check Point vydala report o tom, jak našla 19 let starou díru, skrze kterou ovládla cílový počítač – specificky prostřednictvím WinRARu. Je to problém, který nás neopustil, komprimační nástroje ho řeší doteď. Samotný WinRAR se na oficiálním webu chlubí, že ho používá 500 milionů lidí. Číslo si ověřit nemůžeme, díra však bezpochyby ovlivnila nebo ovlivňuje obrovský počet počítačů.

Problém každopádně nespočívá pouze ve WinRARu. Check Point automatizovaným nástrojem pro hledání zranitelných míst s názvem WinAFL začal kontrolovat právě tento komprimační nástroj. Problém ale leží ve formátu ACE, resp. v knihovně unacev2.dll, jež je využívána mj. WinRARem pro zpracování příslušných archivů. Výzkumný tým odhalil, že jde o knihovnu z roku 2006, jež byla zkompilována bez ochranných prvků.

Kvůli chybě v knihovně je možné soubor rozbalit do libovolné složky a ignorovat tak zadanou cestu pro extrakci. S relativní cestou je zacházeno jako s kompletní cestou. Je možné rozbalit škodlivý spuštění soubor do složky Po spuštění ve Windows, díky čemuž při příštím startu systému dojde k aktivaci malwaru. Zneužití díry není triviální, možnost ale zkrátka existuje.

Musím podotknout, že ve výsledku nemluvíme o jediné díře, konkrétně Check Point pro úspěšnou infekci využil následující díry: CVE-2018-20250 (právě ona je 19 let stará) a CVE-2018-20251, jež se dotýkají bezprostředně knihovny unacev2.dll, dále CVE-2018-20252CVE-2018-20253, jež se týkající WinRARu. Koho zajímají detaily, může si dlouhý report přečíst na webu Check Point Research. Cesta k nalezení slabých míst je spletitá a napínavá.

Dopady zjištění na komprimační nástroje

WinACE je dnes už abandonware, poslední verze stejnojmenného komprimačního nástroje vyšla v roce 2007. Očekávat opravu je proto obtížné. Rozbalování archivů ACE byste se raději měli vyhnout. Producent WinRARu nemá ke zdrojovému kódu knihovny unacev2.dll přístup, proto se rozhodl ve verzi 5.70 podporu rozbalování archivů ACE vypustit. Dnes už nejspíš nebude mnoha lidem chybět, formát je to zcela okrajový.

bitcoin_skoleni

Reagují ovšem i jiní. Bandizip v únoru podporu formátu ACE reakčně rovněž ukončil, včera však v nové verzi podporu obnovil. K rozbalování už ovšem nepoužívá knihovnu unacev2.dll, nýbrž Public UnAce Package. Např. populární 7-Zip se o nic starat nemusel, protože ACE nepodporoval ani před probíraným zjištěním. To ostatně platí i pro mnohé další programy. Jak je na tom váš program, zjistěte nejlépe u výrobce.

Mějte na paměti, že společnost McAfee zaznamenala několik aktivních útoků využívajících zranitelnosti jmenované knihovny pro dekompresi archivů ACE. Tak pozor na ně.