Redazione RHC : 22 Ottobre 2021 13:38
L’esperto di Positive Technologies Igor Sak-Sakovsky ha scoperto una pericolosa vulnerabilità su WinRAR. Esiste un problema identificato come CVE-2021-35052 (ancora in stato di “reservation”) nella notifica web di WinRAR, che viene utilizzato per visualizzare i messaggi di scadenza della prova. La vulnerabilità interessa le versioni di WinRAR fino alla 6.02 beta 1.
Supporta Red Hot Cyber attraverso
Per visualizzare un messaggio della scadenza del periodo di prova, il componente Web reindirizza sul sito web https://notifier.win-rar.com/. La vulnerabilità consente a una persona remota non autorizzata di intercettare le richieste inviate e quindi eseguire un attacco man-in-the-middle (MITM), creare una backdoor e persino eseguire codice remoto.
Come spiegato dal ricercatore, la vulnerabilità esiste a causa dell’utilizzo del modulo browser web configurato in modo errato da parte del componente di notifica web.
Secondo Sak-Sakovsky, per eseguire un attacco MITM attraverso questa vulnerabilità, un utente malintenzionato deve creare un punto di accesso Wi-Fi dannoso, hackerare un router e falsificare il DNS o trovarsi sulla stessa rete con la vittima.
Un utente malintenzionato può utilizzare un server SMB per eseguire il codice da remoto, ma ci sono restrizioni nella blacklist delle estensioni dei file eseguibili.
Quindi, quando si eseguono file con le estensioni bat, vbs, exe e msi, viene visualizzato un messaggio di file dannoso, che suggerisce possibili azioni da fare.
Tuttavia, poiché WinRAR non dispone di un meccanismo di aggiornamento automatico e le versioni vulnerabili sono comuni, gli aggressori possono aggirare le restrizioni e nascondere il lancio utilizzando vecchi exploit per WinRAR o Microsoft Office.
Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009