Des chercheurs en sécurité de Check Point Software ont identifié plusieurs failles de sécurité dans le logiciel Winrar. Pour cela, ils ont installé un logiciel malveillant dans un dossier de démarrage Windows qui, une fois activé, infecterait et prendrait la main sur le PC lors d’un redémarrage.
Mais notre laboratoire Icodia Labs a voulu aller plus loin dans les recherches. Nous nous sommes rendu compte que la faille était critique, notamment via des possibilités d’exécution de code, path transversal, etc. et qu’elle touchait un nombre important de logiciels.
La faille concernant Winrar provient d’une librairie externe : UNACEV2.DLL. Cette librairie a été développée initialement par e-merge GmbH, créateur du format ACE (format passé obsolète à priori depuis 2007).
Deux problèmes sont alors révélés :
– le format ACE, qui bien que performant, est un format propriétaire, c’est-à-dire que le code est fermé
– la librairie, quant à elle, est utilisée sur la plupart des logiciels ayant besoin de décompresser (dépacker) des fichiers au format ACE, mais celle-ci ne peut être mise à jour (l’éditeur ayant arrêté le projet depuis plus de 10 ans), ou patchée facilement (le code source n’étant pas disponible). La seule solution est alors de corriger la faille via reverse engineering.
Mais qu’est-ce que cela signifie ?
Potentiellement, cela veut dire que la plupart des antivirus, logiciels d’analyse, explorateurs de fichiers, plugins, etc. utilisant la librairie UNACEV2.DLL sont faillibles.
Pour régler le problème, Winrar a désactivé le support ACE sur les versions >=5.70 beta 1, en supprimant simplement l’utilisation de la librairie unacev2.dll.
Icodia Labs a pu faire des tests sur différents logiciels Windows, ainsi que sur quelques applicatifs Linux et a constaté que la portée de la faille était très critique.
EndiGuard.Mel : votre solution
Les statistiques de notre outil de filtrage e-mail Endiguard.Mel ont par ailleurs indiqué que sur un
échantillon d’environ 30 000 pièces jointes au format ACE, seules 2 semblaient légitimes.
Endiguard.Mel détecte et analyse complètement ces nouvelles failles, et vous protège contre d’éventuels virus.
Soyez vigilant lorsque vous recevez des documents compressés au format ACE : ne les ouvrez pas, et demandez à votre expéditeur de vous les renvoyer sous un format qui n’est pas obsolète (zip, gzip, ou encore rar).