Les pirates peuvent utiliser la connexion au serveur non sécurisée de WinZip pour libérer des logiciels malveillants

  • Principal
  • Nouvelles
  • Les pirates peuvent utiliser la connexion au serveur non sécurisée de WinZip pour libérer des logiciels malveillants

WinZipName

La communication serveur-client dans certaines versions de l'outil de compression de fichiers WinZip n'est pas sécurisée et peut être modifiée pour fournir des logiciels malveillants ou du contenu frauduleux aux utilisateurs.

WinZip est un utilitaire de longue date pour les utilisateurs de Windows ayant des besoins de stockage de fichiers en plus de la prise en charge intégrée au système d'exploitation.

Initialement publié il y a près de 30 ans, l'outil propose désormais des versions pour macOS, Android et iOS, ainsi qu'une édition entreprise qui ajoute des fonctionnalités de collaboration. Selon son site Web, l'application compte plus d'un milliard de téléchargements.

Trafic en texte brut

WinZip est actuellement à la version 25, mais les versions antérieures vérifient les mises à jour du serveur via une connexion non chiffrée, un point faible qui pourrait être exploité par un attaquant.

Martin Rakhmanov de Trustwave SpiderLabs Le chercheur a capturé le trafic d'une version vulnérable de l'outil pour montrer que la communication n'est pas cryptée.

Trafic de texte brut WinZip

Compte tenu de la nature non sécurisée du canal de communication, Rakhmanov affirme que le trafic peut être 'capturé, manipulé ou détourné' par un attaquant sur le même réseau que l'utilisateur de WinZip.

L'un des risques de cette action est l'empoisonnement DNS, qui amène l'application à récupérer une fausse mise à jour à partir d'un serveur Web malveillant.

'En conséquence, un utilisateur peu méfiant peut lancer du code arbitraire comme s'il s'agissait d'une mise à jour valide', note Rakhmanov dans un article de blog aujourd'hui.

Dans les versions enregistrées de WinZip qui sont vulnérables, l'attaquant pourrait également obtenir des informations potentiellement sensibles, telles que le nom d'utilisateur et le code d'enregistrement.

Rakhmanov affirme que la communication gratuite est également utilisée pour afficher des fenêtres contextuelles informant les utilisateurs disposant d'une version d'essai gratuite de WinZip du temps dont ils disposent pour les tests.

Le contenu de la popup est du HTML récupéré par JavaScript. Cela permet à un attaquant sur le réseau d'exposer les utilisateurs à un contenu arbitraire qui semble provenir directement des serveurs WinZip.

Le chercheur affirme que ce scénario comporte également le risque d'exécuter du code arbitraire sur l'ordinateur de la victime car WinZip propose une API « puissante » pour JavaScript.

Avec la sortie de WinZip 25, la communication en texte brut n'a plus lieu. Il est recommandé aux utilisateurs de mettre à jour la dernière version de l'application.

Cependant, de nombreux utilisateurs peuvent ne pas ignorer l'obtention de la version actuelle car les mises à niveau sont payantes. Le WinZip standard coûte 35,64 $ et l'édition Pro est de 59,44 $.

Si la mise à jour logicielle n'est pas une option, il est conseillé aux utilisateurs de désactiver les contrôles de mise à jour. Cela empêchera le client de demander au serveur WinZip la disponibilité d'une nouvelle version.

Qu'est-ce que tu penses?