• Registrarse
  • Iniciar sesión


  • Resultados 1 al 6 de 6

    WinRAR: "NO" sufre un importante fallo de seguridad

    WinRAR sufre un importante fallo de seguridad WinRAR : a la popular herramienta de compresión de archivos, se le ha detectado un importante fallo de seguridad 0day que permitiría a un atacante la ejecución remota ...

          
    1. #1
      Redactor Avatar de Pacman
      Registrado
      abr 2005
      Ubicación
      Silicon Valley
      Mensajes
      1.749

      Mensaje WinRAR: "NO" sufre un importante fallo de seguridad

      WinRAR sufre un importante fallo de seguridad



      WinRAR: a la popular herramienta de compresión de archivos, se le ha detectado un importante fallo de seguridad 0day que permitiría a un atacante la ejecución remota de código arbitrario cuando se abra un archivo auto extraíble.

      La vulnerabilidad clasificada como de "Alta severidad" tiene una puntuación de 9/10 en CVSS y puede utilizarse para insertar código HTML malicioso dentro del "texto a mostrar en la ventana SFX", la cual es agregar al momento de crear un nuevo archivo SFX. Los archivos SFX de WinRAR permiten crear un archivo comprimido autoextraíble.

      En este caso, al abrir el archivo SFX, se puede ver que se detecta el exploit para CVE-2014-6332 o MS15-064, la cual permite ejecución de código a través del aprovechamiento de objetos.

      En concreto, esta vulnerabilidad se encuentra en todas las versiones 5.X y afecta al sistema operativo Windows...


      Fuente: INCIBE


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      muf
      muf está offline
      Colaborador Avatar de muf
      Registrado
      jun 2011
      Ubicación
      Antofagasta
      Mensajes
      4.326

      Noticia incorrecta sobre vulnerabilidad en WinRAR


      Noticia incorrecta sobre vulnerabilidad en WinRAR


      Viernes, 2 de octubre de 2015 a las 09:18:44 CEST

      Recientemente se han publicado varias noticias sobre una supuesta vulnerabilidad en WinRAR 5.21 que puede representar una amenaza para la seguridad de sus usuarios.

      Esta noticia es incorrecta, no hay ninguna vulnerabilidad en WinRAR y se puede usar sin peligro alguno.

      Esta noticia fue publicada en sitios como ABC o La Vanguardia en la que se indica que se trata de un aviso del Instituto Nacional de Ciberseguridad (INCIBE). Efectivamente, esta noticia fue publicada originalmente por la Oficina de Seguridad del Internauta del INCIBE como un Grave fallo de seguridad en WinRAR. En ella se indica que es posible enviar un fichero RAR comprimido e infectar con él al usuario que lo recibe cuando este lo descomprime. En el detalle se mencionan los ficheros .sfx sin indicar de que se trata exactamente. Además, esta noticia recomienda utilizar otro software de compresión alternativo.

      En primer lugar, es imposible añadir código malicioso a un archivo RAR y conseguir que el usuario que lo descomprima se infecte automáticamente.

      Esto solo es posible hacerlo usando archivos SFX, que son archivos autoextraíbles en formato .exe. Estos archivos pueden ejecutarse directamente sin tener WinRAR instalado, por tanto, todos los usuarios que reciban y abran archivos .exe con código malicioso son vulnerables, tanto si tienen WinRAR instalado como si no lo tienen instalado. Curiosamente, los usuarios que tengan WinRAR instalado pueden descomprimir estos archivos .exe maliciosos a través de WinRAR sin tener que ejecutarlos y sin correr absolutamente ningún riesgo.

      Vamos hacer ahora una pausa para reflexionar un poco sobre los archivos .exe

      Prácticamente cualquier aplicación capaz de generar archivos .exe, como por ejemplo un compilador como Microsoft Visual Studio o un creador de instaladores como InnoSetup, es capaz de incluir código malicioso en estos archivos y esto no representa un fallo de seguridad en la aplicación. Entre ellos, WinRAR también permite incluir archivos .exe dentro de archivos SFX y hacer que estos se ejecuten al igual que es posible hacerlo con archivos SFX de WinZIP. Evidentemente también se puede usar esta funcionalidad para crear archivos maliciosos.

      En definitiva, cualquier archivo .exe, generado o no por WinRAR, puede incluir código malicioso y es una amenaza potencial para cualquier usuario.

      Esto en sí mismo no es ninguna noticia, es así desde que existen los ficheros .exe y no añade ningún riesgo nuevo a los ficheros .exe. También es evidente que no es necesario tener la aplicación que creó el archivo .exe instalada para evitar ser infectado por archivos .exe maliciosos.

      Ahora continuamos el rastro de la noticia hasta llegar a la noticia original en seclists.org, en la que se incluye la prueba de verificación de dicha vulnerabilidad (el código Perl tiene un error de transcripción y hace falta cambiar las dos ocurrencias de ' por el carácter ' para que compile).

      Basta con ejecutar la mencionada prueba de verificación en un sistema actualizado para ver que no funciona y que no es posible usar este método para ejecutar código remoto usando archivos SFX creados por WinRAR en estos sistemas.
      Si decodificamos el código HTML de la prueba podremos ver como intenta funcionar. Básicamente hace que el módulo SFX muestre el contenido de una página web al usuario cuando este ejecuta este archivo.

      Hasta aquí no hay ningún fallo de seguridad en WinRAR, ¿Dónde está el fallo entonces? WinRAR usa el motor de Internet Explorer para mostrar esta página web al usuario y el problema es que esta página web incluye un código en Visual Basic Script que descarga y ejecuta otro archivo .exe. Esto no debería ser posible y tal como hemos indicado solo hace falta probarlo para ver que no funciona. Si lo hacemos veremos que no pasa nada y que el antivirus de Microsoft nos indica que ha bloqueado una amenaza llamada Exploit:VBS/CVE-2014-6332.gen.

      Efectivamente, el código VBScript incluido en la prueba es una copia prácticamente exacta del código publicado como demostración del fallo de seguridad de Windows CVE-2014-6332 (solo han añadido las descarga de la aplicación) descubierto en enero de 2013, detectado por el antivirus de Microsoft desde noviembre de 2014 y arreglado el mismo mes en el parche MS14-064 (Este parche no está disponible para Windows XP pero si las actualizaciones del antivirus que impiden aprovechar este fallo).


      Este es uno de los motivos por los que es necesario descargar el código VBScript de un servidor remoto (con el truco del META tag Refresh), ya que en un sistema actualizado el antivirus no nos dejará crear el archivo SFX si intentamos introducir directamente el código VBScript malicioso a través de WinRAR.

      Esto significa que los usuarios que son vulnerables a este problema (todos los usuarios que no hayan instalado actualizaciones de Windows ni hayan actualizado su antivirus desde noviembre de 2014) también pueden ser infectados si usan Internet Explorer para visitar cualquier página web que contenga este código malicioso o si usan cualquier aplicación que use el motor de Internet Explorer.


      En resumen:


      1. Este fallo no afecta a archivos .rar, solo a archivos .exe.
      2. No es un fallo en WinRAR y no se arregla dejando de usar WinRAR.
      3. Es un fallo en Windows que ya fue arreglado en noviembre de 2014 y la única solución es aplicar los parches de Microsoft o tener un antivirus actualizado.


      Finalmente, es bastante lamentable que alguien pueda atribuir a WinRAR un fallo de seguridad que es en realidad una vulnerabilidad de Windows que ya fue descubierta y arreglada hace casi un año. De hecho, es bastante sospechoso porque la prueba de dicha vulnerabilidad usa el código malicioso de esta vulnerabilidad ya conocida de Windows y pretende atribuirla a WinRAR.

      Es más lamentable todavía que organizaciones como seclist publiquen una vulnerabilidad cuya prueba de verificación no funciona en sistemas actualizados, pero también es lamentable que organizaciones como el INCIBE publiquen una noticia sin al menos contrastarla con el autor de WinRAR o con nosotros, en la que instan a dejar de usar WinRAR para evitar este problema cuando esto no es cierto y que esta noticia pueda llegar a periódicos on-line de prestigio sin que nadie con un mínimo conocimiento del tema se dé cuenta de los fallos que tiene.

      2/10/2015 En OSI/INCIBE han corregido la noticia que aparece en su web sin hace mención al error inicial y sin contestar nuestros mensajes. No estaría mal una aclaración oficial sobre todo esto.

      Pero hay todavía cientos de webs que se limitaron a copiar la noticia que todavía publican informaciones incorrectas sobre este tema.



      Última edición por muf fecha: 06/10/15 a las 17:06:18
      muf
      *** Solo sé que nada sé ***

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: WinRAR sufre un importante fallo de seguridad (Actualiza!)

      En conclusión: Se trata del aprovechamiento malicioso de una funcionalidad WinRAR que permite la ejecución de código HTML a través de objeto de IE incrustado (innecesariamente) en el compresor y NO de una vulnerabilidad como se había dicho en un principio.

      Para que una persona pueda infectarse mediante un fichero autoextraíble de WinRAR deben pasar muchas cosas:

      1. Debe recibir un correo electrónico con un fichero .EXE adjunto. Todos los clientes de correo y la mayoría de los webmail lo habrían ya filtrado.

      2. El usuario debe ejecutar el fichero .exe que viene en el correo, pese a que es la primera regla de seguridad que enseñan en el parvulario.

      3. El usuario debe hacer caso omiso de los avisos que el sistema operativo muestra y que antes hemos visto.

      4. El malware descargado y ejecutado debe burlar las medidas de seguridad(antivirus, etc.) instalados en el sistema. Este es casi el paso más simple de los cuatro.



      Por lo que para rectificar, desde @InfoSpyware hemos editado esta noticia para aclarar que no hay una vulnerabilidad propiamente dicha en WinRAR, (aunque si se pueda llegar a manipular) por lo tanto, nada que parchar, actualizar o cambiar, al menos por el momento...




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      Usuario Avatar de Osdre
      Registrado
      jun 2013
      Ubicación
      Ecuador
      Mensajes
      234

      Re: WinRAR sufre un importante fallo de seguridad (Actualiza!)

      Triste ver como se publica información si verificar por parte de quienes deberían dar noticias verídicas, pero bueno errar es humano, aunque se debe reconocer los fallos.

      Gracias como siempre a uds que nos dan a conocer la actualidad, y hasta rectifican la noticia de ser el caso, eso es algo que no todos los medios hacen, hechen un vistazo a Ecuador y verán que ni medio públicos, privados y el gobierno tienen la calidad moral para hacerlo.

    5. #5
      Usuario Avatar de Milinio
      Registrado
      oct 2015
      Ubicación
      MéxicoEd
      Mensajes
      6

      Re: WinRAR: "NO" sufre un importante fallo de seguridad

      Gracias por la información

    6. #6
      Usuario Avatar de Ramirodel10
      Registrado
      feb 2014
      Ubicación
      España
      Mensajes
      75

      Re: WinRAR: "NO" sufre un importante fallo de seguridad

      Como siempre, gracias por la info.

    7. #7
      Usuario Avatar de Ramirodel10
      Registrado
      feb 2014
      Ubicación
      España
      Mensajes
      75

      Re: WinRAR: "NO" sufre un importante fallo de seguridad

      Ya se solucionó este error no?