AGGIORNAMENTO:
Dopo un approfondimento, è stato accertato che il bug in questione risiedeva in un componente di Internet Explorer usato da molti programmi che è stato patchato nel 2014. Nei sistemi aggiornati, quindi, il problema non sussiste e questo ridimensiona molto il numero di sistemi esposti. Non esiste la patch per Windows XP, quindi sui sistemi che lo usano il problema dello scaricamento ed esecuzione di codice senza preavviso è effettivamente ancora presente. Va precisato che lo stesso problema è presente in altri software se eseguiti su Windows XP.
Fine Aggiornamento
WinRAR è stato uno dei programmi più diffusi per Windows nei passati 10 anni grazie alla sua estrema comodità nel gestire gli archivi compressi.
Ultimamente la sua popolarità è un po' scesa a causa dell'introduzione nativa nel sistema operativo Microsoft della funzione di decompressione dei file Zip, ma il numero di persone che ancora usa questa utility è ancora altissimo.
Purtroppo, una vulnerabilità zero day, scoperata da un ricercatore di Infogen AL che si chiama Rio Sherri, espone gli utenti a seri rischi di sicurezza. Qui di seguito linkiamo il video del ricercatore di sicurezza Mohammad Reza che mostra come funziona.
In pratica, WinRAR offre l'opzione di mostare del testo in una finestra quando si decomprime un archivio autoscompattante, cioè un file eseguibile che contiene file compressi ma che è in grado di decomprimersi senza bisogno di lanciare WinRAR.
Quando si crea un file con queste caratteristiche, basta inserire la giusta stringa HTML nel campo apposito e l'archivio andrà a scaricare e lanciare il programma indicato.
La falla è veramente enorme ed è incomprensibile come sia potuta sfuggire ai creatori di WinRAR, ma c'è anche di più. In una nota pubblicata in seguito alla scoperta del bug, i creatori di WinRAR sostengono che non sia un gran problema.
Secondo loro, dato che quello è un file SFX (quindi un eseguibile) è ovvio che possa contenere del malware e quindi andrebbe eseguito solo se si è assolutamente certi della fonte. Di conseguenza non patcheranno il loro prodotto.
Adesso, con tutta la stima per Eugene Roshal che ci ha dato fornito uno strumento utilissimo che usiamo da anni, c'è da dire che la sua analisi di sicurezza è quantomeno superficiale. Infatti ci sono alcuni punti che val la pena sottolineare:
- Un utente poco esperto non ha modo di vedere l'estensione del file sui nuovi sistemi operativi in quanto sono nascoste di default.
- Diffondendo malware in questo modo non c'è bisogno di crittografare il codice per nasconderlo agli antivirus che controllano gli allegati in posta elettronica, ma solo quelli che hanno un'analisi euristica di un certo livello possono rivelarlo
- Così si possono diffondere molto più facilmente dei malware, senza destare sospetti nell'utente finale che avrà i file che si aspetta nella cartella che ha richiesto.
Ok, ci sono tanti modi di diffondere malware, ma è questo un buon motivo per metterne in giro un altro a disposizione di chiunque? Anche di chi non ha idea di come si compili un eseguibile?
La sicurezza è un campo che ha mille sfaccettature e sappiamo bene che "ma ci cascano solo gli inetti" è una scusa che regge poco: le cose vanno fatte per bene e a prova di "utonto" se si vogliono evitare complicazioni.