Discussion :

[Jonathan]

Des chercheurs découvrent une vulnérabilité dans WinRar datant de près de 14 ans
qui aurait affecté plus de 500 millions d'utilisateurs

Nous connaissons tous certainement le logiciel WinRar, mais pour ceux qui ne le connaissent pas il s'agit d'un utilitaire d'archivage de fichiers sous Windows qui permet de créer et d'afficher des archives aux formats de fichier RAR ou ZIP et de décompresser de nombreux formats de fichiers d'archives. On compte actuellement plus de 500 millions d'utilisateurs de ce logiciel dans le monde, selon le site web de WinRar, ce qui en fait l'outil le plus populaire au monde. La popularité de cet outil a attiré beaucoup d'attention sur lui et il s'avère que récemment, une vulnérabilité présente depuis près de 14 ans dans ce logiciel, a été découverte.

C'est une équipe de chercheurs de la firme de sécurité Check Point Software qui a fait cette découverte. Après avoir créé un laboratoire de fuzzing il y a quelques mois, cette équipe de chercheurs a d'abord travaillé sur le logiciel Adobe en se servant de WinAFL, un outil de fuzzing. Le fuzzing est une technique pour tester des logiciels. L'idée est d'injecter des données aléatoires dans les entrées d'un programme et si le programme échoue (par exemple en plantant ou en générant une erreur), alors il y a des défauts à corriger. Le grand avantage du fuzzing est que l'écriture de tests est extrêmement simple, ne demande aucune connaissance du fonctionnement du système et permet de trouver des vulnérabilités facilement.

Ce n'est qu'après avoir obtenu de bons résultats avec cette étude d'Adobe que ces chercheurs ont décidé d’intensifier leurs efforts en matière de fuzzing et se sont penchés sur le cas de WinRar. Au cours du fuzzing, une des erreurs générées a conduit les chercheurs à une ancienne bibliothèque (UNACEV2.DLL) qui n'avait pas été mise à jour depuis 2005 et qui est utilisée par WinRar pour l’analyse des archives ACE. Une étude approfondie des résultats des tests sur cette bibliothèque leur a permis de déceler un bug assez inquiétant. Ce dernier faisait en sorte que les fichiers d’archives soient extraits dans un dossier choisi par le créateur de l’archive plutôt que dans le dossier choisi par la personne utilisant le programme.

Il suffirait donc d'extraire un fichier exécutable (malveillant) dans le dossier de démarrage de Windows pour infecter l'utilisateur, mais pour le faire il faudrait que WinRar puisse s'exécuter avec des privilèges supérieurs à ceux obtenus par défaut. Pour y parvenir, les chercheurs se sont servis d'une fonction de filtrage découverte dans la bibliothèque UNACEV2.DLL et qui leur a permis d'insérer ce fichier exécutable dans le dossier de démarrage de Windows afin qu'il soit exécuté au prochain redémarrage du système. Il y a donc là vraiment de quoi paniquer quand on imagine tout ce qu'a pu faire un pirate avec une faille aussi importante et qui est restée ouverte pendant près de 14 ans.

Les responsables de WinRar ont déclaré avoir corrigé la vulnérabilité, supprimer la bibliothèque UNACEV2.DLL de son package et supprimer la prise en charge du format d'archive ACE , mais il reste encore à savoir si cela suffira à rassurer les utilisateurs. Pour le moment, il n'est pas encore possible de tirer la conclusion selon laquelle tous les logiciels utilisant la bibliothèque UNACEV2.DLL possèdent eux aussi des vulnérabilités similaires, mais tant qu'on n'en est pas certain, il vaut mieux faire preuve de prudence.

Source : Research Checkpoint

Et vous ?

Qu'en pensez-vous ?
Connaissez-vous d'autres logiciels utilisant la bibliothèque UNACEV2.DLL ?
Si oui, pensez-vous qu'il y ait des chances pour qu'ils possèdent eux aussi cette vulnérabilité ?

Voir aussi :

Des chercheurs découvrent une vulnérabilité d'exécution de code à distance dans SQLite affectant les navigateurs basés sur Chromium
Encore une autre vulnérabilité découverte dans les CPU d'Intel, le fournisseur de microprocesseurs fait des recommandations pour l'atténuer
GitHub découvre un bogue qui expose certains mots de passe en texte clair, le problème viendrait de la fonction de réinitialisation du mot de passe

[fab256]

Donc il s'agit juste du format .ace e non .zip ou .rar, qui sont beaucoup plus utilisé.

[CaptainDangeax]

Donc, ça ne concerne que le format ACE (que je n'ai jamais rencontré) dans une lib WINRAR (que je n'ai jamais utilisé) pour un système Windows que je n'utilise pas en dehors de Steam. Vive le Tarball ! Vive xz !

[grunk]

L'espace d'un instant j'ai eu peur , j'ai cru qu'il avait découvert qu'on pouvait réactiver à volonté la période d'essai de 40 jours

[J@ckHerror]

L'espace d'un instant j'ai eu peur , j'ai cru qu'il avait découvert qu'on pouvait réactiver à volonté la période d'essai de 40 jours

énorme +1
Merci ! avec le café elle passe crème, elle m'a bien fait rire

J@ck.

[prikama]

La question est qui utilise winrar en 2019 ?

[Thomasa21]

La question est qui utilise winrar en 2019 ?

moi je l'utilise encore.

[sapass]

La question est qui utilise winrar en 2019 ?

La question est quel autre outil propose autant d'options ? Surement pas 7zip en tout cas, et donc, quoi utiliser d'autre que winrar ?

[Volgaan]

jamais trouvé plus rapide que winrar, avec un aussi bon niveau de compression que ce que rar propose

Même les archives 7z (LZMA) ?

La question est quel autre outil propose autant d'options ? Surement pas 7zip en tout cas, et donc, quoi utiliser d'autre que winrar ?

Ça m'intéresse. Quelles options (réellement utilisées) WinRAR propose-t-il que n'a pas 7zip ?

[sapass]

Ça m'intéresse. Quelles options (réellement utilisées) WinRAR propose-t-il que n'a pas 7zip ?

Exemples que j'utilise souvent :
- le sfx avec commande de pré-extraction et commande de post-extraction
- les archives avec chemins relatifs ou complets contenant des fichiers qui sont dans des chemins differents (c\titi\titi.txt et c\toto\toto.txt par exemple)
-les options de choix à l'extraction (silencieux, tout écraser, demander etc...)
Bref le B A Ba dont on se demande pkoi 7zip ne le propose pas :o)

[Volgaan]

Exemples que j'utilise souvent :
- le sfx avec commande de pré-extraction et commande de post-extraction
- les archives avec chemins relatifs ou complets contenant des fichiers qui sont dans des chemins differents (c\titi\titi.txt et c\toto\toto.txt par exemple)
-les options de choix à l'extraction (silencieux, tout écraser, demander etc...)
Bref le B A Ba dont on se demande pkoi 7zip ne le propose pas :o)

C'est bien la preuve que tout est affaire d'usage, car je ne suis par exemple aucunement limité par ces points, dont je n'ai pas l'utilité. Peut-être existe-t-il des outils pour créer des SFX LZMA plus personnalisables ?

[Invité]

quoi utiliser d'autre que winrar ?

Par exemple unar/unarchiver, qui gère le rar (entre autres) et est open-source. https://fr.wikipedia.org/wiki/Unarchiver

[Aiekick]

moi, et comme la licence est a vie. je n'ai jamais regretté mon achat. jamais trouvé plus rapide que winrar, avec un aussi bon niveau de compression que ce que rar propose

un logiciel de qualité, c'est rar

[Thomasa21]

un logiciel de qualité, c'est rar

Lol, bien trouvé

[sapass]

J'ai winrar (certes la vieille v 3.2) d'installé et je ne trouve la dll en question nulle part sur mon PC. Peut-elle être incluse dans une dll de winrar avec un autre nom ?

[MKuser53]

J'ai winrar (certes la vieille v 3.2) d'installé et je ne trouve la dll en question nulle part sur mon PC. Peut-elle être incluse dans une dll de winrar avec un autre nom ?

J'ai la version 5.00 installé
C:\Program Files\WinRAR\Formats\UNACEV2.DLL (sic)
DLL datant du 26/08/2005 à 02:50

Installation de la 5.70
J'ai gagné(WIN) un décompresseur RAR tout neuf

[Stan Adkens]

Une vulnérabilité WinRAR vieille de 19 ans mène à plus de 100 exploits de malwares,
Mais elle a été corrigée dans la dernière version

WinRAR est un utilitaire d'archivage de fichiers pour Windows qui permet de créer et de visualiser des archives au format RAR ou ZIP et de décompresser de nombreux formats de fichiers archive. Il est depuis plusieurs années un produit de base sur PC. Il est gratuit, mais une version payante existe. Selon le site Web officiel de WinRAR, plus de 500 millions d'utilisateurs dans le monde font de WinRAR l'un des outils de compression les plus populaires au monde. Mais depuis le mois dernier, une vulnérabilité d'exécution de code qui existait depuis 19 ans a été découverte dans l’utilitaire de compression.

La vulnérabilité a été découverte par les chercheurs en sécurité de la société Check Point Software Technologies. Les chercheurs ont révélé que la vulnérabilité permettait aux pirates et aux distributeurs de logiciels malveillants d’exploiter facilement un bogue dans l’utilitaire de compression WinRAR. Selon les chercheurs, le mode opératoire consiste pour les logiciels malveillants à exploiter WinRAR en donnant aux fichiers malveillants une extension RAR, afin qu’une fois ouverts, ils puissent automatiquement extraire les programmes malveillants. Ces programmes malveillants sont ensuite installés dans le dossier de démarrage du PC, ce qui leur permet de démarrer chaque fois que l'ordinateur est allumé, le tout à l'insu de l'utilisateur.

L’équipe de chercheurs en sécurité de Check Point Software a fait cette découverte après avoir créé un laboratoire de fuzzing, il y a quelques mois. Cette équipe a d'abord travaillé sur le logiciel Adobe en se servant du fuzzer WinAFL, un outil de fuzzing. Les bons résultats obtenus les ont incités à étendre leurs travaux à WinRAR.

Cheick Point a révélé le bogue au moment où les groupes de pirates informatiques avaient vraiment commencé à l'utiliser à leur avantage, prenant pour cible divers pays dans des campagnes de cyberespionnage soutenues par des États pour tenter de recueillir des renseignements. Heureusement, une version corrigée, 5.70, a été publiée le 26 février dernier, même si les attaquants ont eu assez de temps pour faire de nombreuses victimes depuis des années, vu le nombre de personnes ayant installé l’utilitaire, et vu qu’ils peuvent encore faire d’autres victimes en atteignant certains systèmes avant qu'ils ne puissent être corrigés.

Dans un article de blog, McAfee a donné la procédure d’exploitation de la vulnérabilité de WinRAR UNACEV2.DLL, à travers un exemple. Selon l’éditeur de logiciel, conscients de la prévalence de WinRAR parmi ceux qui préfèrent télécharger illégalement leurs médias, les distributeurs de logiciels malveillants ont pris pour cible ces derniers, faisant d’eux l'un des exploits les plus populaires.

Un exemple récent d’exploitation a eu lieu sur une copie piratée de l'album à succès d'Ariana Grande « Thank U, Next » avec un nom de fichier « Ariana_Grande-thank_u,_next(2019)_[320].RAR, a écrit McAfee dans son article de blog. « Lorsqu'une version vulnérable de WinRAR est utilisée pour extraire le contenu de cette archive, une charge utile malveillante est créée dans le dossier Startup en coulisse. Le contrôle de compte d'utilisateur (UAC) ne s'applique pas, de sorte qu'aucune alerte n'est affichée à l'utilisateur. La prochaine fois que le système redémarre, le malware est lancé », a ajouté l’éditeur de logiciel de sécurité.

Les révélations des chercheurs de Check Point interviennent dans un contexte où les cyberattaques prennent de l’ampleur en nombre et en coût. Selon une étude intitulée « Le facteur de confiance » de la société de cybersécurité Radware publiée en janvier, d’importants incidents de sécurité des données qui attirent l'attention ont continué de faire la une de l'actualité en 2018, menaçant la productivité des entreprises, l’expérience client et la confiance des consommateurs dans les marques des entreprises. En outre, selon Radware, le coût moyen d'une cyberattaque a dépassé 1 million de dollars en 2018.

Par ailleurs, un nouveau record d’attaque DDoS a été établi en 2018. La société de protection contre les attaques DDoS, Arbor Networks, avait rapporté en mars 2018 que des pirates informatiques avaient dirigé une attaque DDoS contre un serveur memcached d’un fournisseur de services américain non identifié. Selon Arbor Networks, l’attaque contre le fournisseur de services avait atteint une amplitude sans précédent de 1,7 térabit par seconde.

La vulnérabilité WinRAR vieille de 19 ans a conduit à plus de 100 exploits de logiciels malveillants. En effet, selon McAfee, pendant la première semaine après la révélation de la vulnérabilité par l’équipe de chercheurs de Check Point, McAfee a identifié plus de 100 exploits uniques, dont la plupart des cibles initiales résidaient aux États-Unis au moment de la rédaction de son rapport.

Il est impossible de savoir combien des 500 millions d'utilisateurs dans le monde entier ont été affectés pendant les 19 ans de vulnérabilité de l’utilitaire d'archivage de fichiers pour Windows. Une autre préoccupation est que, bien que, la version 5.70 soit sortie avec des corrections, elle doit être téléchargée et installée manuellement à partir du site Web, laissant la plupart des utilisateurs dans l’ignorance de la mise à jour critique. Toutefois, McAfee conseille aux utilisateurs de garder leurs signatures anti-malware à jour à tout moment.

Source : Check Point, McAfee

Et vous ?

Qu’en pensez-vous ?
Selon vous, pourquoi la vulnérabilité n’avait pas été découverte depuis 19 ans dans l’un des utilitaires d’archivage les plus populaires ?
Pensez-vous que la mise à jour pourra résoudre le problème ?

Lire aussi

Le responsable de logiciel d'une banque chinoise emprisonné après avoir trouvé le moyen de retirer 1 million $ US « gratuits », aux distributeurs
Oracle corrige une faille de sécurité qui affecte ses terminaux de paiement micros, 300 000 systèmes concernés
Des chercheurs découvrent une vulnérabilité d'exécution de code à distance dans SQLite, affectant les navigateurs basés sur Chromium
Une faille de sécurité dans X.org affecte les distributions Linux et BSD, elle permet à un attaquant d'obtenir un accès root depuis un terminal
Une faille dans la brique de base des systèmes de conteneurisation RunC permet une évasion des conteneurs Linux, pour gagner un accès root sur l'hôte

[Musk4]

Aucun programme n'est parfait

[CoderInTheDark]

Sous windows 7zip me suffit
Si ils trouvent une faille sur 7zip, je m'inquiéterai

[Xavier_d]

Bon à savoir