: Por João Fernandes; Fev. 22, 2019

Check Point encontra vulnerabilidade no código de extração do WinRAR

A equipa de investigação da Check Point® Software Technologies Ltd., fornecedor líder especializado em cibersegurança a nível global, através da montagem de um laboratório de fuzzing multi-plataformas, criado com o objetivo de testar diversos binários, descobriu uma vulnerabilidade com 19 anos no WinRAR, o arquivador utilizado nos sistemas operativos Windows. Depois da investigação que levou à deteção de uma vulnerabilidade no Adobe Acrobat, a equipa continuou a testar o mesmo processo noutras plataformas para Windows.

Depois de iniciar os testes a diversos ambientes Windows e fazer fuzz aos binários, com o WinAFL, foi a vez de testar o WinRAR. Um dos fuzzer levou a que a aplicação bloqueasse e desta forma a Check Point conseguiu encontrar uma falha, residente num dll (dynamic-link library) compilado em 2006. Este ficheiro não possuía nenhum mecanismo de proteção e era utilizado por diversos softwares para além do WinRAR.

Ao dar continuidade aos testes para perceber onde começava a falha, a equipa detetou que o fuzzer originava comportamentos estranhos no programa. Ao analisar o referido comportamento, a equipa de investigação da Check Point acabou por localizar um bug lógico, o Absolute Path Transversal.

O que é o WinRAR?

O WinRAR é um ficheiro arquivador trialware para Windows, capaz de criar e abrir ficheiros em formato RAR ou ZIP, entre outros formatos de ficheiros de arquivo.

“Mais de 500 milhões de utilizadores em todo o mundo fazem do WinRAR a ferramenta de compressão mais conhecida dos dias de hoje”, segundo o website da WinRAR.

Para saber mais informação técnica e conhecer a forma de atuação deste bug, consulte o artigo desenvolvido pela equipa de investigação da Check Point Software em https://research.checkpoint.com/extracting-code-execution-from-winrar/.

Classifique este item

(0 votos)