Эксперты по безопасности TrustWave обнаружили, что WinZip до версии 25 запрашивает обновления с сервера через незащищенное соединение. Это можно использовать с враждебными намерениями.
Подложить свинью через HTTP
Старые версии архиватора WinZip могут быть использованы киберзлоумышленниками для загрузки на компьютеры жертв вредоносного ПО. Этого можно добиться сразу несколькими способами. Причина же одна и та же — незащищенный обмен данными между клиентом и сервером, откуда WinZip запрашивает и скачивает информацию об обновлениях.
WinZip — очень старый архиватор, его разработка началась еще 30 лет назад. Актуальная версия — 25, однако у большинства пользователей, скорее всего, стоят более ранние версии. Стандартная версия WinZip сейчас стоит $35,64, профессиональная —$59,44.
Версии до 25 обмениваются данными с сервером разработчиков через незащищенное соединение, которое, по словам Мартина Рахманова (Martin Rakhmanov), эксперта компании Trustwave SpiderLabs, легко можно перехватить. Кроме того, возможны самые разные манипуляции, вплоть до того, чтобы заставить клиентскую программу скачать вместо обновления вредонос с сайта под контролем злоумышленников.
В конечном счете пользователь может запустить любую программу, полагая, что это легитимное обновление для WinZip. Кроме того, указывает Рахманов, зарегистрированные версии WinZip могут быть использованы для вывода данных о пользователях, включая имя и код регистрации.
Проблема с JavaScript
Нешифрованные соединения также устанавливаются, когда пользователю выводится информация о том, сколько времени он тестирует бесплатную версию. Содержимое всплывающего окна отображается с помощью HTML, который подгружает JavaScript. Злоумышленник в одной сети с жертвой может использовать это для подгрузки фальшивого кода, который будет выглядеть так, будто его загрузили с сайта WinZip, а учитывая свойства соответствующего API есть риск запуска произвольного кода.
«WinZip насчитывает около миллиарда загрузок, причем большая их часть — версии до 25, поскольку архиватор, вообще-то, небесплатный, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Обновления, соответственно, тоже платные. Но как раз это снижает риск заражений, поскольку закачивание вредоносов потребует попытки обновления с небезопасной версии до безопасной. Остается всплывающее окно в пробных версиях, где в теории можно подменить JavaScript на что-то вредоносное. Но это не так просто реализовать. С другой стороны, к сожалению, вариантов немного — либо обновляться до безопасной версии, либо отказываться от использования архиватора в пользу чего-то другого».
Источник: cnews.ru