Poslední týdny přinesly i dvě zajímavé novinky, o kterých bych se rád zmínil. Figurují v nich pojmy WinRAR a ASUS…
Přesněji řečeno budu hovořit o dvou aplikacích. První je legendární WinRAR pro komprimaci souborů. Kdo někdy viděl soubory s příponou RAR či ZIP, ten patrně WinRAR zná. Využívá ho přes 500 milionů uživatelů! Druhou je program „ASUS Live Update“, který sice není tak známý, nicméně výrobce hardwaru, společnost ASUS, není potřeba představovat. Tahle aplikace si dokáže „očichat“ HW počítače / notebooku uživatele a automaticky stáhnout veškeré aktualizace ovladačů pro zvukovou kartu, základní desku, včetně novější verze BIOSu. Obě spojuje v tomto článku skutečnost, že i zavedené a známé programy dokážou kdykoliv v průběhu svého života ohrozit bezpečnost počítače, ač každá z nich zcela jiným způsobem.
WinRAR
V tomto programu existovala celých 19 let(!) chyba, resp. zranitelnost (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 a CVE-2018-20253), kterou mohl případný útočník zneužít k zavirování počítače. Chybu obsahovala knihovna UNACEV2.dll, díky které dokázal WinRAR rozbalovat i archivní soubory formátu ACE. Soubor/archiv s příponou ACE bylo ale možné připravit tak, že WinRAR díky chybě „zblbnul“ a část souborů vybalil do jiné složky, než kterou určil uživatel!
Více informací lze najít tady (anglicky). Téměř dole je i video demonstrace (POC), jak by mohl případný útok s využitím této zranitelnosti probíhat. Třeba tak, že uživatel chce rozbalit ACE archiv na plochu, kam se sice rozbalí, nicméně jeden „zlý“ spustitelný EXE soubor se bez jeho vědomí dostane i do složky „Po spuštění“. Zákonitě se tak „zlý“ program spustí po dalším restartu počítače…
Tato 19 let stará chyba byla odstraněna ve WinRARu, verze 5.70. Chyba přitom byla „odstraněna“ doslovně, neboť UNACEV2.dll už není součástí distribuce nových verzí WinRARu. Archaický formát ACE si tak WinRARem už nerozbalíte. Proto doporučuji aktualizovat na verzi 5.70 nebo novější!
ASUS Live Update
Zde se pro změnu útočníkům podařilo odcizit validní digitální certifikáty společnosti ASUS, resp. ASUSTeK, kterými podepisovali škodlivé aplikace a jménem společnosti ASUSTeK je následně umisťovali na legitimní servery společnosti ASUS. Zpětně se ukázalo, že aktualizační servery společnosti ASUS byly útočníky kompromitovány mezi červnem a listopadem 2018. Tj. kdo instaloval ASUS Live Update v tomto období, měl velikou šanci, že si v počítači spustil potichu tikající bombu. Jenom společnost Kaspersky zaznamenala přes 57 tisíc uživatelů s takhle upraveným programem ASUS Live Update. V celosvětovém měřítku odhaduje, že mohlo být postiženo klidně přes 1 milion uživatelů. Více informací zde (anglicky).
Tenhle útok přitom spadá do kategorie APT (Advanced Persitent Threat), tedy že cílem útoku jsou konkrétní instituce (či jedinci) a nikoliv celá masa lidí, která program ASUS Live Update používá. Takový útok pak může být odhalen až za několik měsíců, let a nebo nikdy! V tomto případě se při analýze ukázalo, že útok cílil pouze na malou skupinu několika stovek uživatelů. Technicky to bylo zajištěno tak, že ve škodlivých programech bylo vyjmenováno celkem přes 600 MAC adres síťových adaptérů a další škodlivá činnost následovala pouze v případě, že se ASUS Live Update nacházel na počítači s MAC adresou z jmenovaného výčtu. Co bylo na těchto uživatelích / počítačích pro útočníky zajímavého? To teď těžko říci a je otázkou, zda je lepší to nevědět 🙂 Připomeňme jen, že kyber-špionáže (kde hraje APT často významnou roli) vedly v minulosti například k black-outům / výpadkům elektrické energie v části Ukrajiny, ke krádežím firemních know-how, či ke zpomalení procesu obohacování uranu v Iránu při výrobě jaderné bomby…
a nstací iba zmazat onu spominanu kniznicu UNACEV2.dll?
mam kupenu verziu 3.51 a pri tom zriedkavom pouzivani netuzim po novej…
Tipl bych si, že ano, stačí.
Nevím jak se to bude chovat bez DLL knihovny. To bych ji tam raději nechal a vyhnul se ACE souborům.
Nicméně pokud to máte koupené, tak máte nárok na novější verzi, ne?
Koukám na https://www.rar.cz/obchodni_podminky.php a nevidím tam nic o tom, že by to nebylo možné upgradovat.
Po odstranění knihovny se WinRAR (5.01) spustí a nehlásí chybu, ale asi by zhavaroval, kdybys na tu „úpravu“ zapomněl a pokusil ses někdy rozbalit ACE archiv.
Novou verzi nemusíš kupovat. Prostě si stáhni instalačku nejnovější verze, tu spusť a klidně aktualizuj. Jednou zakoupený klíč platí stále – už jsem si to několikrát ověřil. Jediné, co k tomu potřebuješ, je originální soubor rarreg.key.
Navíc, licence WinRaru je pro soukromého uživatele velmi přívětivá: „Soukromí uživatelé smí tuto licenci používat na všech počítačích a mobilních zařízeních (USB discích, externích pevných discích apod.), nacházejících se v jejich vlastnictví.“