Egy magas súlyosságú sérülékenység került felfedezésre a nagy népszerűségnek örvendő WinZip nevű fájlarchiváló szoftverben. A sérülékenység lehetővé teszi a támadók számára, hogy megkerüljék a Windows biztonsági funkcióit, és így esetlegesen rosszindulatú kódot futtassanak a felhasználók rendszerein.
A CVE-2024-8811 kódon nyomon követhető, 7,8-as (magas) CVSS pontszámmal rendelkező sérülékenység a WinZip 76.8 előtti összes verzióját érinti. A hiba a WinZip „Mark-of-the-Web” kezelési hiányosságaiból adódik, ami a Windows egy biztonsági funkciója: megjelöli az internetről letöltött fájlokat. Ez a jelzés megkülönbözteti az ilyen módon számítógépre került fájlokat a saját számítógépen organikusan létrejöttektől, figyelmezteti a felhasználókat a potenciális veszélyre és egyéb óvintézkedéseket is indít.
A Trend Micro Zero Day Initiative kutatói azonban felfedezték, hogy a WinZip eltávolítja a Mark-of-the-Web jelzést a letöltött tömörített fájlok kicsomagolása közben. Ez azt jelenti, hogy egy kártékony fájl letöltése esetén a kicsomagolt adatokon már nincs jelzés, így a felhasználók azt hihetik, biztonságos fájlokkal van dolguk.
A támadás menete:
- A támadó készít egy zip archívumot, ami rosszindulatú fájlokat, például malware-t vagy egyéb kártékony szkripteket tartalmaz.
- A támadó ráveszi a felhasználót, hogy töltse le ezt a rosszindulatú archívumot, például egy adathalász e-mail vagy egy kompromittált weboldal segítségével.
- Amikor a felhasználó a letöltött archívumot megnyitja a WinZip segítségével, a szoftver eltávolítja a “Mark-of-the-Web” jelölést, ezzel eltűnik a fájl potenciálisan káros jellegének jelölése.
- A “Mark-of-the-Web” hiányában a Windows nem feltétlenül alkalmazza a megfelelő biztonsági intézkedéseket, ami lehetővé teheti a rosszindulatú kód végrehajtását.
A sérülékenység sikeres kihasználása komoly következményekkel járhat, például malwarek lefutásával, adatlopással. Legsúlyosabb esetben a támadó teljes irányítást szerezhet a rendszer felett. Éppen ezért minden felhasználónak javasolt a WinZip 76.8-as verzióra (vagy annál újabbra) való mihamarabbi frissítése, amiben a sérülékenység javításra került!
