Une vulnérabilité critique découverte sur le logiciel WinRaR

L'équipe de recherche de Check Point a publié le 20 février 2019 un rapport concernant une vulnérabilité sur WinRaR et considérée comme critique. Un attaquant pourrait les exploiter afin d’exécuter des commandes arbitraires à distance sur les postes susceptibles de décompresser des archives malveillantes avec WinRaR. Cette attaque serait peu complexe à mettre en œuvre et nécessite une interaction avec l’utilisateur. L'impact estimé sur la confidentialité, la disponibilité et l'intégrité des données est élevé. Une nouvelle version a été publiée par WinRaR afin de corriger cette vulnérabilité en supprimant la compatibilité avec le format ACE. La version 5.70 beta 1 apporte ces modifications.

Check Point est un fournisseur mondial de solutions de sécurité du système d’information. Ils sont notamment reconnus dans le domaine des pare-feux.

WinRaR est un logiciel propriétaire de compression de données comportant une version gratuite et une version payante. Il utilise par défaut son algorithme de compression propriétaire qui est le ".RAR", capable de gérer les différents formats populaires (ZIP, 7z, bzip2, ACE, etc.).ACE est un format de fichier de compression développé par la société E-merge à l’origine du logiciel WinAce.

Cette vulnérabilité serait présente depuis 19 ans et concernerait le format ACE qui est supporté par WinRaR. Ses utilisateurs sont donc de potentielles victimes dans le cas où un attaquant les persuaderait à extraire une archive malveillante.

Détails techniques :

CVE-2018-20250 [CVSS v3 7.8] : Il est possible de spécifier le chemin absolu dans le champ du nom de fichier pour les formats en ".ACE" ignorant ainsi le chemin d’extraction. Ce bogue permet d’extraire un fichier dans un dossier arbitraire qui sera en réalité une exécution de commande.

CVE-2018-20251 [CVSS v3 5.5] : La fonction de vérification de WinRaR sur les noms de fichiers des formats ACE n’est pas sécurisée. En effet, cette fonction va vérifier si le nom de fichier contient une remontée de répertoires et doit arrêter l’extraction. Cependant, cette fonction de vérification est réalisée trop tard puisqu’elle intervient après la création des fichiers et dossiers.

CVE-2018-20252 [CVSS v3 7.8] : Il existe une vulnérabilité au niveau de l'analyse syntaxique des formats d'archive ".ACE" et ".RAR" qui permet d’écrire en dehors des chemins imposés. Une exploitation réussie pourrait conduire à une exécution de code arbitraire dans le contexte de l'utilisateur actuel.

CVE-2018-20253 [CVSS v3 7.8] : Les versions de WinRaR inférieures à 5.60 sont vulnérables au niveau de l'analyse syntaxique des formats d'archive ".LHA/LZH" permettant d’écrire en dehors des chemins imposés. Une exploitation réussie pourrait conduire à une exécution de code arbitraire dans le contexte de l'utilisateur actuel.

La combinaison de ces vulnérabilités pourrait permettre le scénario suivant :

1. Un attaquant persuade un utilisateur de décompresser son archive malveillante. En décompressant cette archive, un fichier malveillant pourra être stocké de manière arbitraire dans le dossier :\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fichiermalveillant.exe.
2. En stockant un exécutable dans ce dossier, celui-ci s’exécutera automatiquement au démarrage de l’ordinateur pouvant ainsi mener à une exécution de code à distance.

Afin de corriger ces vulnérabilités, WinRaR a décidé d’arrêter le support du format ACE dans sa nouvelle version 5.70 beta 1.