Для атаки требовался доступ в ту же сеть, взломанный роутер либо поддельная точка Wi-Fi
Компания RarLab поблагодарила эксперта Positive Technologies Игоря Сак-Саковского за обнаружение уязвимости в архиваторе WinRAR. Данный продукт используют более 500 млн пользователей в разных странах мира. Атака, для которой уязвимы версии WinRAR до версии 6.02 beta 1, может проводиться удаленно, авторизация не требуется.
Ошибка получила идентификатор CVE-2021-35052 (уведомление производителя, подробности о уязвимости) и оценку 8,2 по шкале CVSSv3, что соответствует высокому уровню опасности. Проблема была обнаружена в веб-компоненте для уведомлений WinRAR web notifier, который используется для отображения оповещений после первого запуска WinRAR или об истечении пробного периода. В таких случаях WinRAR web notifier переходит на страницу https://notifier.win-rar.com/.
«В уязвимой версии WinRAR можно перехватывать веб-запросы, отправленные компонентом WinRAR web notifier, для реализации MITM-атак (man-in-the-middle, человек посередине), создания бэкдора, а также для RCE-атак — выполнения произвольных файлов с удаленного сервера SMB, — рассказывает Игорь Сак-Саковский. — Для успешной атаки может потребоваться создать фейковую точку Wi-Fi, взломать роутер и подменить DNS или находиться с жертвой в одной сети. В случае запуска файлов с сервера SMB есть ограничения по черному списку расширений запускаемых файлов, в частности при запуске .bat-, .vbs-, .exe-, .msi-файлов будет показано сообщение о вредоносном файле и предложены действия с ним. Но учитывая, что механизма автообновлений у WinRAR нет и уязвимые версии часто встречаются, атакующий может обойти ограничения и скрыть запуск с помощью старых эксплойтов для WinRAR или Microsoft Office».
По словам исследователя, с технической точки зрения уязвимость вызвана тем, что компонент WinRAR web notifier использует неправильно сконфигурированный модуль webbrowser. Подобные ошибки могут быть выявлены в ходе работ по тестированию на проникновение, а также с помощью анализаторов защищенности приложений, таких как PT Application Inspector.
Для устранения проблемы производитель рекомендует установить WinRAR 6.02 beta 1 или более новую версию продукта.
Автоматизировать обнаружение и приоритизацию подобных уязвимостей позволяют системы управления уязвимостями, такие как MaxPatrol VM. Выявить признаки проникновения (например, в случае невозможности установки обновления) помогут системы класса SIEM (в частности, MaxPatrol SIEM), которые позволяют обнаружить подозрительное поведение на сервере, зарегистрировать инцидент и своевременно остановить продвижение злоумышленников внутри корпоративной сети.