La versione 5.70 beta di WinRAR da poco rilasciata corregge una vulnerabilità rimasta silente per ben 19 anni, potenzialmente pericolosa per gli utenti poiché in grado di eseguire codice malevolo all’avvio del computer. A scoprirla e a segnalarla agli sviluppatori è stato il team di Check Point Research, che ne riassume il funzionamento con il filmato visibile in streaming di seguito.
WinRAR: 19 anni di vulnerabilità
Non si tratta di un bug causato da un’errata compilazione del software, ma legato al supporto per il formato ACE ormai obsoleto, che per lungo tempo ha mostrato il fianco all’azione dei malintenzionati. Creando un archivio .ace e rinominandolo semplicemente .rar così da modificarne l’estensione, nel momento in cui i file al suo interno vengono estratti è possibile aggiungere l’esecuzione di un processo in fase di boot, sfruttando un comportamento anomalo di una DLL di terze parti datata 2005 e da lungo tempo non più aggiornata. Il tutto senza che il malcapitato se ne accorga.
Via il supporto agli archivi ACE
La soluzione adottata dalla squadra di WinRAR è radicale: anziché intervenire sul problema impedendo la dinamica è stata del tutto eliminata la compatibilità con il formato ACE. Una scelta comprensibile considerando che il software più diffuso oggi in grado di generare questo tipo di archivi è WinACE che non riceve un update dal 2007. La conferma arriva dalla pagina relativa al changelog della versione 5.70 beta 1 distribuita a fine gennaio.
Nadav Grossman di Check Point Software Technologies ci ha informati a proposito di una vulnerabilità di sicurezza nella libreria UNACEV2.DLL. Questa permette di creare file in modo arbitrario dentro e fuori la cartella di destinazione quando si decomprime un archivio ACE. WinRAR impiegava una libreria di terze parti per estrarli, non più aggiornata dal 2005 e per la quale non abbiamo accesso al codice sorgente. Abbiamo così deciso di abbandonare il supporto al formato ACE al fine di proteggere la sicurezza dei nostri utenti.
Non è dato a sapere se la vulnerabilità sia stata sfruttata nel tempo in modo malevolo né se qualcuno ne sia rimasto vittima. In ogni caso, tenendo conto come WinRAR sia una delle alternative più note e utilizzate per la gestione degli archivi compressi (oltre 500 milioni di utenti dichiarati), l’ipotesi non è da escludere a priori. La release 5.70 beta 2 rilasciata ieri è al momento disponibile solo nelle lingue inglese, ungherese e finlandese. La precedente 5.61 anche in italiano, ma considerando il problema emerso se ne sconsiglia l’installazione.