Pół miliarda użytkowników WinRara w niebezpieczeństwie przez 19-letnią lukę

Maciej Olanicki, 20.02.2019 r.

WinRar to program o statusie kultowym, a jego nietypowy model licencyjny stał się przez lata memem. Według informacji samego producenta, z programu korzysta około 500 mln osób, ale w całej jego 20-letniej historii pobrano go zapewne miliardy razy. Tym poważniejsze są konsekwencje odnalezionej w programie podatności.

Dziura WinRarze pozwala na zdalne wykonanie kodu

Dziś pisaliśmy już o 6-letniej luce w WordPressie, jednak WinRar zdecydowanie przebił popularnego CMS-a. Rzeczona luka znajduje się bowiem w archiwizerze od 19 lat! Problematyczna jest biblioteka UNACEV2.DLL, którą wykorzystują wszystkie dotychczas wydane wersje programu. Służy ona rozpakowywaniu plików ACE. Wystarczy odpowiednio spreparowane archiwum, by wypakować dowolny kod poza wskazaną lokalizacją.

Wydawać mogłoby się, że od rozpakowania do wykonania skryptu daleka droga. Nie, jeśli skrypt zostanie ulokowany na przykład w folderze Autostartu. Wówczas wystarczy ponowne uruchomienie komputera, by dowolny kod został wykonany na komputerze ofiary. Co więcej, załatanie podatności w bibliotece nie było możliwe, gdyż twórcy WinRara utracili dostęp do jej kodu źródłowego około 2005 roku. A to oznacza 500 mln potencjalnych ofiar.

Luka „załatana” jak dotąd tylko w wersji beta

W obliczu takiego zagrożenia zdecydowano się na opcję atomową – całkowite porzucenie formatu ACE. Zmianę tę wdrożono już zresztą w wydanej pod koniec stycznia wersji beta WinRara 5.70. Zabezpieczona przed podatnością w bibliotece wykorzystywanej do rozpakowywania ACE została zatem bardzo niewielka część użytkowników – nie sposób zakładać, aby taki program jak WinRar miał szczególnie dużą rzeszę betatesterów.

Na powagę sytuacji wpływają dwa czynniki – pierwszym z nich jest gigantyczna baza użytkowników WinRar. Drugim zaś to, że raczej niewielka część interesuje się jego nowymi wydaniami, a zdecydowana większość go nie aktualizuje. A to daje nam pół miliarda podatnych maszyn – wystarczy odrobina socjotechniki, by znalazło się na nich spreparowane archiwum. Każdemu zalecamy instalację najnowszej bety WinRara, oznaczonej numerem 5.70.