Lỗ hổng bảo mật nghiêm trọng của phần mềm Winrar

Mới dây, xuất hiện lỗ hổng bảo mật nghiêm trọng của phần mềm nén và giải nén dữ liệu đang được rất nhiều người dùng, đặc biệt là người dùng Việt Nam.
Lỗ hổng này cho phép thay đổi tệp tin mở rộng bên trong file .zip sau khi nén nhưng vẫn tiến hành thực thi.

Đối với cả những người dùng có kinh nghiệm cũng có thể bị hacker lợi dụng cài đặt virus,phần mềm gián điệp,keyloger, trojan, hay các phần mềm độc hại khác. Đặc biệt nghiêm trọng với những người dùng không có kinh nghiệm, nhất là trong cơ quan văn phòng hiện tại là những người dùng ít hoặc thiếu thông tin về An toàn thông tin dễ bị hacker tấn công nhất.

Tuy nhiên, lỗi này chỉ có tại phiên bản 4.x.x của Winrar. Các phiên bản như 3x, 5x sẽ không mắc phải lỗi này. Vì vậy, cách tốt nhất để tránh mắc phải lỗi này, khuyến khích người dùng nên update phiên bản phần mềm Winrar mới hoặc sử dụng các trình nén và giải nén thay thế như Winzip hoặc 7z,…

anh0

Trong hình trên, là hình mô tả cấu trúc, định dạng của file .ZIP sau khi nén bởi Winrar. Có thể thấy tên file được nén được định nghĩa tại offset thứ 30. nhưng lại thêm một phần hiển thị tên file nằm tại cuối file. Chính vì vậy, việc định nghĩa này vẫn đúng khi mở với winrar. Nghĩa là tệp tin được nén không bị thay đổi về mặt định nghĩa, chỉ có vấn đề ở mặt hiển thị thông báo về tệp mở rộng của file được nén.

Sau đây là demo khai thác.
demo

1. Nén tệp tin dưới dạng .ZIP

anh1

2. Lấy 1 trình hex edit để edit file .ZIP vừa rồi.

anh2

3. Save lại rồi xem kết quả.

anh3

Thử với file .JPG

anh4

Thử với file .TXT

Video full tại: https://www.dropbox.com/s/l9ldt6pjffnyer2/demo%20rar.rar

——————–
Dịch lại từ nguồn: http://an7isec.blogspot.co.il/2014/03/winrar-file-extension-spoofing-0day.html

Advertisements

One thought on “Lỗ hổng bảo mật nghiêm trọng của phần mềm Winrar”

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s