Un difetto in WinRAR consente agli aggressori di ingannare gli utenti con sequenze di escape ANSI

È stata scoperta una vulnerabilità di sicurezza critica in WinRAR, una popolare utility di compressione e archiviazione di file per Windows.

Il difetto, identificato come CVE-2024-36052, colpisce le versioni WinRAR precedenti alla 7.00 e consente agli aggressori di falsificare l'output dello schermo utilizzando sequenze di escape ANSI.

Il problema nasce dalla mancanza di una corretta convalida e sanificazione dei nomi file da parte di WinRAR all'interno degli archivi ZIP. Siddharth Dushantha ha identificato la vulnerabilità.

Quando un archivio ZIP appositamente predisposto contenente un file con sequenze di escape ANSI nel nome viene estratto utilizzando WinRAR, l'applicazione non riesce a gestire correttamente le sequenze di escape.

Li interpreta invece come caratteri di controllo, consentendo agli aggressori di manipolare il nome del file visualizzato e potenzialmente indurre gli utenti a eseguire file dannosi.

Webinar gratuito Simulazione di attacchi API in tempo reale: Prenota il tuo posto | Inizia a proteggere le tue API dagli hacker

Le sequenze di escape ANSI sono simboli speciali utilizzati per controllare il formato e l'aspetto del testo nelle interfacce e nei terminali della riga di comando. La maggior parte delle sequenze iniziano con un carattere di escape ASCII (ESC, \x1B) seguito da un carattere di parentesi ([)esonoincluseneltesto[)esonoincorporateneltesto[)ويتمتضمينهفيالنص[)andareembeddedintothetext

Creando archivi dannosi contenenti queste sequenze, gli aggressori possono manipolare l'output visualizzato e indurre gli utenti a credere che stanno aprendo un file innocuo, come un PDF o un'immagine.

Quando un utente tenta di aprire il file apparentemente innocuo da WinRAR, la vulnerabilità viene attivata a causa della gestione impropria delle estensioni dei file.

Invece di eseguire il file previsto, la funzione ShellExecute di WinRAR riceve un parametro non valido ed esegue uno script dannoso nascosto, come un file batch (.bat) o uno script di comandi (.cmd), o Dushantha Egli ha detto.

Questo script può quindi installare malware sul dispositivo della vittima e contemporaneamente visualizzare il documento ingannevole per evitare di destare sospetti.

È importante notare che questa vulnerabilità è specifica di WinRAR su Windows ed è diversa da CVE-2024-33899, che colpisce WinRAR su piattaforme Linux e UNIX.

Le versioni WinRAR Linux e UNIX sono inoltre vulnerabili agli attacchi di spoofing dell'output sullo schermo e agli attacchi di negazione del servizio tramite sequenze di escape ANSI.

Per mitigare i rischi posti da questa vulnerabilità, si consiglia agli utenti di farlo aggiornare a WinRAR versione 7.00 o successiva, che include una correzione per il problema.

Inoltre, fare attenzione quando si aprono archivi da fonti non attendibili e abilitare la visibilità delle estensioni dei file in Windows può aiutare a prevenire questo tipo di attacco.

La vulnerabilità è stata divulgata pubblicamente il 23 maggio 2024 ed è importante che gli utenti WinRAR intraprendano azioni immediate per proteggere i propri sistemi da potenziali sfruttamenti da parte di soggetti malintenzionati.

ANYRUN Malware Sandbox VIII Offerta speciale di Natale: Ottieni 6 mesi di servizio gratuito