AccueilActualités informatiqueAchetez maintenant : La version gratuite de WinRAR peut être utilisée à...

Achetez maintenant : La version gratuite de WinRAR peut être utilisée à mauvais escient pour des attaques

Les anciennes versions d’essai du décompresseur WinRAR présentent une faille de sécurité qui peut être exploitée par des attaquants sur le même réseau dans certaines conditions – et selon le scénario d’attaque, seulement après une certaine interaction de l’utilisateur avec le programme – pour exécuter un code malveillant arbitraire sur un ordinateur cible. La vulnérabilité a été corrigée avec WinRAR 6.02 en juin, mais elle attire maintenant l’attention car le découvreur du bogue a écrit un article de blog détaillé à ce sujet la semaine dernière.

Sommaire

WinRAR est un outil logiciel assez populaire dans ce pays qui est utilisé pour emballer et décompresser des fichiers d’archives tels que ZIP ou RAR. De nombreux utilisateurs ont installé la version d’essai gratuite, qui peut d’abord être utilisée avec l’ensemble de ses fonctions, puis passe en mode nagware restreint dans lequel elle invite régulièrement l’utilisateur à payer pour la version complète. Le problème de sécurité réside précisément dans cette fonction : étant donné que de nombreux utilisateurs utilisent vraisemblablement WinRAR presque exclusivement pour décompresser des archives téléchargées sur Internet, il est probable qu’un nombre important d’utilisateurs utilisent (continuent d’utiliser) en permanence la version gratuite obsolète.

Les versions de WinRAR plus anciennes que la version sécurisée 6.02 doivent être remplacées par une version plus récente dès que possible, surtout s’il s’agit d’une version d’essai (vulnérable). Les administrateurs d’entreprises en particulier doivent être conscients de cette faille de sécurité, car la restriction technique consistant à ne pouvoir être exploitée qu’à partir du même réseau pourrait la rendre particulièrement intéressante pour les attaquants qui ont déjà obtenu l’accès à un réseau plus vaste, par exemple dans une entreprise.

La vulnérabilité est due au fait que l’écran de message avec lequel WinRAR invite l’utilisateur à payer pour le logiciel est généré par la bibliothèque MSHTML/Trident. Il s’agit de l’ancien moteur de rendu HTML d’Internet Explorer de Microsoft, que les développeurs peuvent également intégrer dans leurs propres projets. Dans ce cas précis, les développeurs de WinRAR ont utilisé l’implémentation Borland C++ de MSHTML. Dans tous les cas, la bibliothèque MSHTML contient une vulnérabilité d’exécution de code à distance (CVE-2021-40444), qui est ici vulnérable via l’écran de WinRAR.

Si un attaquant présent sur le même réseau parvient à manipuler le trafic ARP du système attaqué (ARP spoofing) et à rediriger ainsi les requêtes de la victime vers un site web qu’il contrôle, la fenêtre vulnérable de WinRAR exécute un code malveillant arbitraire de l’attaquant. À ce stade, une deuxième limitation possible de l’exploitabilité de la vulnérabilité se met en place : Selon le type de fichier du code malveillant, un avertissement de sécurité peut être affiché à l’utilisateur attaqué, nécessitant une interaction de sa part (confirmation de la poursuite par un clic de souris). D’une part, cependant, cet avertissement ne s’applique pas à certaines extensions de fichiers et, d’autre part, selon l’expérience du découvreur de vulnérabilités, de tels avis sont souvent négligés dans le travail quotidien et simplement « cliqués ».

Vous trouverez plus de détails sur la vulnérabilité de WinRAR, qui, selon son découvreur, a reçu l’ID CVE-2021-35052, sur le blog de la société de sécurité Positive Technologies. Étant donné les limites de l’exploitation de la vulnérabilité, la plupart des utilisateurs domestiques n’ont probablement pas trop à s’inquiéter. Néanmoins, il n’est pas inutile de mettre à jour les outils d’essai, surtout si ces logiciels traitent régulièrement des téléchargements provenant de sources inconnues.

  • Programmes d’emballage chez heise Télécharger

Plus d'articles