احذر من ثغرة WinRAR الخطيرة لإخفاء البرامج الضارة



تخيل معي عزيزي انه من خلال فتحك لبرنامج الضغط الشهير WinRAR لرؤية صورة او فتح ملف موسيقي او pdf , txt ... يمكن ان يتسرب الى جهازك برنامج ضار بشكل خفي !

نعم فهذا ما اكتشفه الباحث الامني  Danor Cohen  مؤخرا باكتشافه ثغرة من نوع file extension spoofing التي تمكن المهاجم من التحايل على امتداد المفات و اخفائها لتظهر للمستخدم على انها ملفات عادية مثل ".txt" او ".jpg"

 

باستعمال اداة Hex Editor يتمكن المهاجم من فحص ملف ZIP و بذلك يعدل على الاسم الثاني اي Original filename (كما في الصورة) ليحول امتداد exe الى اي امتداد اخر يريد , و بذلك عندما يفتح المستخدم الملف المضغوط سيظهر له ملف صورة لكن عند النقر عليه ففي الواقع سيتم فتح الملف التنفيذي . exe

باستعمال هذه التقنية سيتمكن المهاجم من تسريب البرامج الخبيثة الى المستخدمين ، حتى ان شركة IntelCrawler اكدت على ان ثغرة يوم  الصفر zero-day هذه مكنت من تخطي حماية انتي فايروسات الخاصة بحماية سرفرات الايميلات من المفات المرفقة

ما يدل على انه باستعمال تقنيات  الهندسة الاجتماعية Social Engineering  قد يتمكن المهاجم من اختراق عملاء بشركات كبرى و ذلك من خلال استغلال هذه الثغرة و زيادة على ذلك يضع المهاجم باسوورد للملف المضغوط و ذلك لحمايته من فحص الانتي فايروس كما يتضح في هذا المثال : 

الثغرة الى حدود الساعة تمت تجربتها على النسخة  4.20  و تاكد انها تعمل على جميع النسخ حتى النسخة 5.2

و لذلك فينصح باستخدام برامج اخرى للضغط و عدم فتح اي ملف zip بال WinRAR خاصة في حالة وجود ملفات مغرية للمستخدم او عليها باسوورد حتى اصدار تحديث جديد لسد الثغرة.

بقلم

محمد لحلو

المدير التقني لمدونة مجتمع الأمن المعلوماتي مدون ومغرد حول مجال الأمن المعلوماتي والحماية الإلكترونية ! مهتم بكل جديد حول المجال الأمني بصفة خاصة والتقني بصفة عامة من مواليد مدينة فاس المغرب .

2016 © جميع الحقوق محفوظة
تطوير : عدنان المجدوبي