Уязвимость позволяет удаленно выполнить код и получить контроль над системой.
В ряде продуктов компании F-Secure для индивидуальных и корпоративных пользователей обнаружена критическая уязвимость, позволяющая удаленно выполнить код с помощью особым образом сконфигурированных архивных файлов и получить полный контроль над системой.
В прошлом году исследователь под псевдонимом landave выявил несколько уязвимостей в архиваторе с открытым исходным кодом 7-Zip, используемом во многих коммерческих продуктах. Некоторые из них затрагивают непосредственно 7-Zip и использующие его продукты, остальные же касаются сторонних реализаций архиватора.
Во вторник, 5 июня, landave описал в своем блоге эксплуатацию одной из обнаруженных им уязвимостей в 7-Zip (CVE-2018-10115) для удаленного выполнения кода на большинстве продуктов F-Secure для Windows. Описание атаки было опубликовано после того, как F-Secure исправила уязвимость через свой механизм автоматической доставки обновлений 22 мая текущего года.
Уязвимость затрагивает следующие продукты F-Secure: F-Secure SAFE for Windows, Client Security, Client Security Premium, Server Security, Server Security Premium, PSB Server Security, Email and Server Security, Email and Server Security Premium, PSB Email and Server Security, PSB Workstation Security, Computer Protection и Computer Protection Premium.
Эксплуатировать уязвимость для атаки непосредственно на 7-Zip сравнительно легко. Однако в случае с продуктами F-Secure все немного сложнее из-за реализованной в них технологии защиты памяти Address Space Layout Randomisation (ASLR ). Тем не менее, исследователю удалось обойти защиту и выполнить код с помощью вредоносных RAR-файлов.
Злоумышленник может отправить жертве вредоносный файл по электронной почте, однако такой сценарий требует от пользователя запуск сканирования файла вручную. Более эффективный метод заключается в том, чтобы заставить жертву посетить вредоносную web-страницу, откуда на ее систему загрузится эксплоит.
Как пояснил исследователь, продукты F-Secure перехватывают HTTP-трафик и автоматически сканируют файлы размером до 50 МБ. Поскольку процесс сканирования по умолчанию предполагает извлечение компрессированных файлов, злоумышленник может заманить жертву на web-страницу, откуда и будет автоматически загружен файл эксплоита. Для того чтобы жертва не заметила загрузку, атакующий должен использовать асинхронные HTTP-запросы.
Одно найти легче, чем другое. Спойлер: это не темная материя