Vulnerabilità 1-click RCE su WinRAR 

CERT Yoroi desidera informarla riguardo una vulnerabilità sulla tecnologia WinRAR, software di archiviazione utilizzato pervasivamente, con l'identificativo CVE-2023-40477. 

La CVE-2023-40477 è una vulnerabilità di tipo "Remote Code Execution" che potrebbe consentire a possibili utenti malintenzionati remoti di eseguire codice arbitrario su un'installazione WinRAR vulnerabile. Il bug provocante la vulnerabilità in questione è presente nell'elaborazione dei volumi di recupero. In particolare, la falla è dovuta a un'inadeguata convalida dei dati forniti dall'utente, che può comportare un accesso alla memoria di un buffer già allocato. La vulnerabilità, quindi, può essere sfruttata da remoto e può consentire agli aggressori di eseguire codice arbitrario nel contesto del processo corrente. Inoltre, per far eseguire il codice malevolo, non è necessario che l'utente estragga o esegua file contenuti all'interno dell'articolo ma è sufficiente che l'utente apra solo l'archivio. 

Si sottolinea inoltre come non esistano all'attuale exploit/POC pubblici o tentativi di attacco in the wild relativi a questa CVE, ma considerando l'elevato numero di utenti (Oltre 500 Milioni) ci si prospetta nel breve di vedere tentativi di sfruttamento della vulnerabilità in the wild, rendendo pertanto un ipotetico scenario d'attacco di grande impatto a livello mondiale. 

Il vendor pertanto ha rilasciato una versione per il fix della CVE, la 6.23, che è presente all'interno del loro bollettino di sicurezza . 

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanate e successivamente il patching alle versioni suggerite dal vendor. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index  

Riferimenti Esterni

• https://www.theregister.com/2023/08/21/winrar_vuln_could_allow_code/ 
• https://latesthackingnews.com/2023/08/21/winrar-security-flaw-could-allow-command-execution/ 
• https://www.helpnetsecurity.com/2023/08/21/cve-2023-40477/ 
• https://www.bleepingcomputer.com/news/security/winrar-flaw-lets-hackers-run-programs-when-you-open-rar-archives/ 
• https://www.zerodayinitiative.com/advisories/ZDI-23-1152/ 

• https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=232&cHash=c5bf79590657e32554c6683296a8e8aa 
• https://www.blackhatethicalhacking.com/news/winrar-vulnerability-enables-arbitrary-code-execution-via-malicious-archives/