Gravi Criticità in WinRAR

Proto: N050219.

Con la presente Yoroi desidera informarLa relativamente ad una recente serie di vulnerabilità scoperta all’interno del software di gestione archivi Compressi WinRAR, la cui popolarità negli anni l’ha reso uno dei principali strumenti di archiviazione anche in ambiti professionali. Le criticità sono note con gli identificativo CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 e CVE-2018-20253.

Le problematiche nascono da lacune nella gestione degli input all’interno nella libreria “unacev2.dll”, risalente al 2005 e parte del software WinRAR, dove ricercatori di sicurezza hanno individuato molteplici possibilità di abuso durante l’apertura di archivi in formato ACE. Questi rilievi rendono possibili scenari di attacco operabili da attori di minaccia remoti, i quali, attraverso tecniche di Watering-Hole o Spear-Phishing, possono essere in grado di:

  • Trafugare gli hash NTLM dell’utente per recuperarne le credenziali.
  • Infettare l’host vittima posizionando malware o backdoor in persistenza al suo interno.

Il Produttore ha confermato la problematica per tutte le versioni WinRAR recenti, rilasciando l’aggiornamento 5.70 beta 1.

Benché non siano stati al momento rilevati attacchi in-the-wild utilizzanti queste vulnerabilità, la disponibilità di dettagli tecnici atti a riprodurre le problematiche rappresentano un fattore non trascurabile per cui Yoroi suggerisce di valutare il blocco degli archivi “ACE” all’interno del Vostro perimetro, qualora non comunemente utilizzati a fini lavorativi.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index