Архиваторы.

[Peter15 19]

Создать новую тему меня побудила новость об архиваторе Winrar. https://twitter.com/even_dev/status/1098744897950179329?s=12

https://thehackernews.com/2019/02/winrar-malware-exploit.html

Вкратце, дело в том, что последние 19 лет в архиваторе существовала уязвимость в библиотеке, распаковывающей архивы ACE. При разархивации определённого архива ACE (который может быть замаскирован под другой архив, например, RAR) будет заложен в автозагрузку вредоносный код и получен полный доступ над компьютером при перезагрузке. В настоящее время выпущена бета-версия архиватора, в которой убрали эту проблемную библиотеку, т. к. в 2005 году компания WinRAR Team потеряла её исходные коды.

[regist 617]

@Peter15, как же надоели с этой жёлтой прессой. А главное заголовок. Если кратко.

1) Уязвимость не в архиватор, а в библиотеке (от 3-й стороны)! И будет в любой программе которая работает с этой библиотекой. В прошлый раз нашли уязвимость в windows и также на всех сайтах кричали, что нашли новую опасную уязвимость в WinRar.

2) Исходные коды были утеряны.... да их просто и не было в открытом доступе, они были только у разраба этой библы. Точней в открытом доступе были (и есть, но очень древние, а той нет). А сам проект уже давно закрылся.

3) Если вас это так пугает, то достачно просто удалить эту библиотеку. Всё равно архивы для которых она используется вы не видели лет 10-20.

4) Меньше надо читать подобную жёлтую прессу, где журналисты при краждой перепечатке всё больше и больше приукрашивают её.

Изменено 25 февраля, 2019 пользователем regist

[Peter15 19]

 

 

Всё равно архивы для которых она используется вы не видели лет 10-20.

Так могут же, наверное, создать?

[Денис-НН 1 224]

Наверное могут. А зачем?

Я даже не припомню, встречался ли мне реально такой архив или нет. Этот формат родился полуживым, и умер тихо, никого не потревожив.

[dexter 417]

Можно  в кратце по-русски, какая библиотека "лишняя" ?

Нашёл, UNACEV2.DLL

[Peter15 19]

 

 

А зачем?

Ну как, чтобы атаковать компьютер. Почему бы злоумышленникам не создать архив с уязвимостью, благо и архиватор есть в свободном доступе для этого формата?

 

 

какая библиотека "лишняя" ?

Только вот ещё интересно: если я установлю старый архиватор из-под администратора, а вредоносный архив открою из-под обычного пользователя (с ограниченными правами), сможет ли программа прописаться в системные директории?

[Денис-НН 1 224]

 

 

сможет ли программа прописаться в системные директории?

Сможет. Как раз в этом уязвимость и заключается.

[dexter 417]

Прикол в том, что если устанавливать архиватор без поддержки АСЕ, библиотека всё равно есть.

[Peter15 19]

Сможет. Как раз в этом уязвимость и заключается.

Не уверен. А что, архиватор имеет драйвер, который перезаписывает системные директории? По-моему, уязвимость сработает, если разархивировать архив из-под админа.

Изменено 25 февраля, 2019 пользователем Peter15

[andrew75 1 422]

@Peter15, если вы читали ссылки, на которые ссылаетесь, то должны были прочитать во второй, что разработчики winrar исключат поддержку ACE архивов в следующей версии программы.
Что уже реализовано в версии 5.70 beta 1.

Since the WinRAR team had lost source code of the UNACEV2.dll library in 2005, it decided to drop UNACEV2.dll from their package
to fix the issue and released WINRar version 5.70 beta 1 that doesn't support the ACE format.

https://www.rarlab.com/rarnew.htm

Nadav Grossman from Check Point Software Technologies informed us
about a security vulnerability in UNACEV2.DLL library.
Aforementioned vulnerability makes possible to create files
in arbitrary folders inside or outside of destination folder
when unpacking ACE archives.

WinRAR used this third party library to unpack ACE archives.
UNACEV2.DLL had not been updated since 2005 and we do not have access
to its source code. So we decided to drop ACE archive format support
to protect security of WinRAR users.

Изменено 25 февраля, 2019 пользователем andrew75

[Денис-НН 1 224]

 

 

Не уверен

Если вы читали про эту уязвимость, то должны были обратить внимание на видео, где несмотря на максимальный уровень UAC вредоносный файл попал в автозагрузку.

[Peter15 19]

 

 

файл попал в автозагрузку.

Какое-то у них нестандартное расположение папок. В Win 10 действительно папки так могут располагаться?

[andrew75 1 422]

 

 

нестандартное расположение папок

а где вы там видите реальное расположение папок?

В проводнике на видео показаны избранные папки. 

[Peter15 19]

 

 

избранные папки.

Так получается, на видео он писал не в системную директорию? Папка "Windows" там -- это не системная папка?

[andrew75 1 422]

На видео он писал в папку "автозагрузка":

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
C:\ProgramData\Microsoft\Windows\Главное меню\Программы\Автозагрузка

А набирал он команду - shell:Startup

Изменено 25 февраля, 2019 пользователем andrew75