🛡️ WINRAR - Ce qu'il faut savoir et pourquoi il est impératif d'effectuer les mises à jour

[Parisien_entraide]

2024-05-17_153516.jpg

Sur le site il y a le tuto
Comment ouvrir décompresser -fichier rar
https://www.malekal.com/comment-ouvrir- ... chier-rar/





CAS CONCRET de délivrance d'un Stealer avec un programme qui n'est pas à jour : WINRAR

Si on ne cite qu'un exemple de l'utilité d'un programme de mise à jour logiciel, on peut citer le cas récent de de WinRar, qui apparait encore dans des versions 5.x installées (et souvent crackée au passage), dans les rapports FRST des personnes infectées sur le forum et ce même en 2024


L'explication est simple : WinRar ne dispose pas de mécanisme de mise à jour automatique
Comme il a été dit :

L'exploitation à grande échelle du bogue WinRAR montre que les exploits de vulnérabilités connues peuvent être très efficaces, même si un correctif est disponible.

Une faille était exploitée activement depuis au moins le mois de mars 2023, surtout par l' infostealer Rhadamanthys
( Trojan stealer : https://www.malekal.com/trojan-stealer/)



Cela a été corrigé le 2 août 2023, avec la version 6.23


Site auteur pour le téléchargement https://www.rarlab.com/download.htm



Du reste la faille est exploitée AUSSi avec les cracks, keygen, programmes de triche... (Mais c'est juste un aspect, car il ne suffit pas de se mettre à jour pour penser être à l'abri des programmes malveillants, qui utilisent diverses procédures)
viewtopic.php?p=544690#p544690


MAIS toutes les versions inférieures jusqu'à la version 6.22 sont faillibles ET exploitées



L'infection était facile, il suffisait d'ouvrir une archive .RAR ou .ZIP, même contenant une simple image, vérolée pour exécuter du code sur votre PC, à votre insu, et potentiellement en prendre le contrôle.

Dans le légal cela pouvait être une image, un fichier .pdf, .txt, pif, .com, .exe, .bat, .lnk, .cmd
Dans l'illégal cela se trouvait souvent dans l'archive crack.rar contenant un fichier .txt, ce qui rassurait l'utilisateur qui n'y voyait qu'un fichier inoffensif (ou plus rarement un .pdf)
On l'a retrouvé également dans les archives .iso de jeux, programmes, et.. logiciels de triche (crackés ou pas car certains sites légaux étaient compromis) et.. de Windows



Détails à
https://googleprojectzero.github.io/0da ... 38831.html
https://blog.google/threat-analysis-gro ... erability/

LNK Malware : ce qu’il faut savoir
https://www.malekal.com/lnk-malware/


--------------------

Edit du 8 mai 2024


Début 2024, des groupes de cybercriminels ayant dans le collimateur "de grandes cibles" ont exploité les vulnérabilités des logiciels d'accès à distance et de WinRAR.

Pour rappel l'une de ces vulnérabilités à la mi-2023 était - CVE-2023-38831.
Ensuite, les développeurs de WinRAR ont éliminé la possibilité d'exécuter du code malveillant sous Windows.

Quelques jours après la sortie des correctifs, CVE-2023-38831 il avait déjà été remarqué dans des attaques contre des traders .
Et le mois suivant, les attaquants ont publié un faux exploit pour une faille dans WinRAR , qui distribuait le cheval de Troie VenomRAT sur GitHub.

Les experts de Kaspersky Lab ont étudié les données sur les attaques des groupes APT pour la période 2023 - début 2024. Il s’est avéré qu’au premier trimestre 2024, les cybercriminels exploitaient le plus souvent des failles qui leur permettaient d’injecter des commandes et de contourner l’authentification.

Outre WinRAR et les outils de contrôle d'accès (par exemple, Windows SmartScreen), les attaquants se sont intéressés au logiciel Français Ivanti (https://www.ivanti.com/fr/) , où deux vulnérabilités ont été récemment découvertes : CVE-2024-21887 et CVE-2023-46805.

2024-05-17_153633.png

Les trous dans WinRAR ont pris la troisième place en termes de fréquence d'exploitation. L'efficacité de leur utilisation dans des cyberattaques ciblées s'explique par le fait que la victime sélectionnée ne peut pas toujours reconnaître les fichiers archivés suspects et le fait que celui ci ne propose pas de mises à jour automatique
(On le voit sur le forum avec des utilisateurs encore en version 5.x et en plus crackée)

En plus du CVE-2023-38831 déjà mentionné dans WinRAR, les attaquants sont tombés amoureux des failles CVE-2017-11882 et CVE-2017-0199 dans MS Office.

2024-05-17_153729.png

ALTERNATIVES
il y a NanaZip et/ou 7Zip
NANAZIP ou 7ZIP ? Lequel choisir ?
viewtopic.php?p=554706

Tutos du site

NanaZip : compresser/décompresser des fichiers ZIP, 7zr ou RAR
https://www.malekal.com/nanazip-compres ... zr-ou-rar/

7-Zip : comment compresser/décompresser des fichiers ZIP, RAR, 7z, ISO
https://www.malekal.com/7zip-compresser ... ar-7z-iso/

7-Zip : Tous les exemples d’utilisation en ligne de commandes
https://www.malekal.com/7-zip-tous-les- ... -commande/

[Parisien_entraide]

2024-08-13_123007.png

Juste un rappel et cela est valable pour tous les sites où il y a des programmes à télécharger ou des données personnelles à fournir


Les cybercriminels misent sur nos erreurs de frappe pour vous attirer dans leurs filets.
Jusqu'à ces dernières 24h il existait le site (il a été bloqué depuis donc je le met en "clair")

Code : Tout sélectionner

https://win-rar.co/

au lieu de

Code : Tout sélectionner

https://www.win-rar.com/

Cela exploite donc une faute de frappe (oubli du "m" du .com)
Une fois arrivé sur le site tout est l'identique, (voir image ci dessus) sauf.. ce que vous allez télécharger

C'est ce que l'on appelle du typosquatting

Typosquatting : Attaque par de faux sites malveillants
https://www.malekal.com/typosquatting/

Même si la liste n'est pas à jour (je fais ressortir l'essentiel) car il en sort une vingtaine minimum par jour, dans le domaine FR cela donne une idée
viewtopic.php?p=552315#p552315

Donc soyez vigilants !

[Parisien_entraide]

2024-11-12_143951.png

Les pirates utilisent désormais la concaténation de fichiers ZIP pour échapper à la détection


Les pirates ciblent les machines Windows en utilisant la technique de concaténation de fichiers ZIP pour diffuser des charges utiles malveillantes dans des archives compressées sans que les solutions de sécurité ne les détectent.

Cette technique exploite les différentes méthodes utilisées par les analyseurs ZIP et les gestionnaires d’archives pour traiter les fichiers ZIP concaténés.

Cette nouvelle tendance a été repérée par Perception Point, qui a découvert une archive ZIP concaténée cachant un cheval de Troie lors de l’analyse d’une attaque de phishing qui attirait les utilisateurs avec un faux avis de livraison.
Les chercheurs ont constaté que la pièce jointe était déguisée en archive RAR et que le logiciel malveillant utilisait le langage de script AutoIt pour automatiser les tâches malveillantes.

2024-11-12_141652.jpg

Cacher des logiciels malveillants dans des ZIP cassés

La première étape de l’attaque est la préparation : les auteurs de la menace créent deux ou plusieurs archives ZIP distinctes et cachent la charge utile malveillante dans l’une d’entre elles, en laissant le reste avec un contenu inoffensif.

Ensuite, les fichiers séparés sont concaténés en un seul en ajoutant les données binaires d’un fichier à l’autre, fusionnant leur contenu en une seule archive ZIP combinée.

Bien que le résultat final apparaisse comme un seul fichier, il contient plusieurs structures ZIP, chacune avec son propre répertoire central et ses propres marqueurs de fin.




Exploiter les failles des applications ZIP

La phase suivante de l’attaque repose sur la façon dont les analyseurs ZIP traitent les archives concaténées. Perception Point a testé 7zip, WinRAR et l’Explorateur de fichiers Windows et a obtenu des résultats différents :

7zip ne lit que la première archive ZIP (qui peut être bénigne) et peut générer un avertissement concernant des données supplémentaires, que les utilisateurs peuvent manquer.


WinRAR lit et affiche les deux structures ZIP, révélant tous les fichiers, y compris la charge utile malveillante cachée.


Explorateur de fichiers Windows peut ne pas ouvrir le fichier concaténé ou, s’il est renommé avec une extension .RAR, peut n’afficher que la deuxième archive ZIP.



7zip (en haut) et l'Explorateur de fichiers Windows (en bas) ouvrant le même fichier

2024-11-12_142011.jpg

Pour illustrer cette technique, considérons le scénario suivant :

Code : Tout sélectionner

echo "this is a harmless file!" > first.txt
echo "This is a very scary malware" > second.txt
7zz a pt1.zip first.txt
7zz a pt2.zip second.txt
cat pt1.zip pt2.zip > combined.zip

Dans cet exemple, deux fichiers ZIP légitimes (pt1.zip et pt2.zip) sont concaténés en un seul fichier (combined.zip).
Le répertoire central de la deuxième archive (pt2.zip) est prioritaire, ce qui signifie que seuls les fichiers répertoriés dans ce répertoire sont visibles par certains lecteurs ZIP.

Chaque outil traite le répertoire central différemment, conduisant à une visibilité variée du contenu caché ou malveillant. Examinons comment trois lecteurs ZIP populaires gèrent les fichiers ZIP concaténés et pourquoi cet écart est important.


En fonction du comportement de l’application, les acteurs de la menace peuvent affiner leur attaque, par exemple en cachant le logiciel malveillant dans la première ou la deuxième archive ZIP de la concaténation.

En essayant l’archive malveillante de l’attaque sur 7Zip, les chercheurs de Perception Point ont constaté que seul un fichier PDF inoffensif s’affichait. En l’ouvrant avec l’explorateur Windows, ils ont cependant découvert l’exécutable malveillant.


En reprenant cet exemple

7zip : une vue partielle avec des avertissements

Lors de l'ouverture de notre exemple Combined.zip avec 7zip , il affichera uniquement le contenu de la première archive (pt1.zip), affichant uniquement le premier.txt « bénin » . Un avertissement tel que « Il y a des données après la fin de l'archive » peut apparaître, mais il est facilement ignoré.

2024-11-12_142448.png

WinRAR : exposition complète de la charge utile malveillante

WinRAR , quant à lui, lit le deuxième répertoire central et affiche le contenu de la deuxième archive (pt2.zip), y compris le second.txt « malveillant ». Cela en fait un outil unique pour révéler la charge utile cachée, sur laquelle les attaquants s'appuient lorsqu'ils ciblent des systèmes spécifiques.

2024-11-12_142554.png

Explorateur de fichiers Windows : un quasi-accident

L'Explorateur de fichiers Windows a du mal avec les ZIP concaténés. Il se peut qu'il ne parvienne pas à ouvrir complètement le fichier ou, s'il est renommé en .rar, il affichera uniquement le contenu de la deuxième archive « malveillante ». Dans les deux cas, sa gestion de tels fichiers laisse des lacunes si elle est utilisée dans un contexte de sécurité.

2024-11-12_142712.png

Ce détail subtil est la première indication de la manière dont différents lecteurs ZIP, comme 7zip et l'Explorateur de fichiers Windows, gèrent les archives concaténées, conduisant à des résultats variables et à des implications potentielles en matière de sécurité.




Pourquoi l'évasion de concaténation fonctionne ?


Cette tactique exploite les comportements variés des lecteurs ZIP, y compris ceux couramment utilisés par les outils de cybersécurité populaires et les chercheurs en logiciels malveillants humains.
De nombreux fournisseurs de sécurité s'appuient sur des gestionnaires ZIP populaires tels que 7zip ou des outils natifs du système d'exploitation pour analyser les fichiers ZIP en vue d'une analyse plus approfondie.
Les acteurs malveillants savent que ces outils manquent ou négligent souvent le contenu malveillant caché dans les archives concaténées, ce qui leur permet de diffuser leur charge utile sans être détecté et de cibler les utilisateurs qui utilisent un programme spécifique pour travailler avec des archives.



Source et autres détails : https://perception-point.io/blog/evasiv ... ows-users/

[Parisien_entraide]

2025-02-18_105241.jpg

WinRAR est passé en version 7.10

Comme on peut le voir sur la capture le mode "sombre" a été ajouté.. Le truc inutile par excellence autrement qu'esthétique (suivant les gouts)


Lien direct de téléchargement pour la version en FR : https://www.rarlab.com/rar/winrar-x64-710fr.exe

On trouve des versions en Catalan, Basque, mais .. pas en Breton (Ben alors vous foutez quoi ? :-) ni en langue Corse du reste, et toutes les principales autres langues (sauf le Klingon)
https://www.rarlab.com/download.htm



Les changements : https://www.rarlab.com/rarnew.htm

Ce qui peut être mise en avant :
Windows Vista et les systèmes 32 bits ne sont plus supportés
Par contre il y a toujours un support pour Windows 7 et les systèmes 64 bits

Code : Tout sélectionner

1. L'algorithme de compression RAR peut utiliser plusieurs groupes de processeurs Windows
      pour utiliser jusqu'à 64 processeurs logiques au maximum.
      Cela peut améliorer la vitesse de compression RAR sur les systèmes dont le nombre de processeurs 
      logiques dépasse 64 et n'est pas un multiple de 64.

      Auparavant, le nombre maximal de processeurs logiques était limité à la taille d'un seul groupe 
      de processeurs, par exemple 36 pour 72 processeurs.

   2. Le panneau d'arborescence utilise le tri logique pour les dossiers à l'intérieur des archives.
      Il traite les chiffres des noms de dossiers en fonction de leur valeur numérique, de sorte que 
      les dossiers sont triés comme suit : « 1 », « 2 », « 3 », « 4 » ou « 5 » au lieu de « 1 », « 10 », « 2 ».
      Ce type de tri était déjà utilisé pour les dossiers en dehors des archives.

   3. Améliorations visuelles du mode sombre.

   4. Correction de bogues :

      a) en cas d'ajout de fichiers à une archive RAR semi-solide existante
         existante créée avec les commutateurs -se ou -s<N>, ces fichiers pouvaient 
         être endommagés. Ce problème n'affecte pas les archives solides habituelles 
         créées avec -s ainsi que les archives non solides ;

      b) si l'option « Détection automatique de l'encodage » de la visionneuse interne était activée, un nom 
         d'encodage erroné pouvait être affiché dans la barre d'état de la visionneuse ;

      c) la compression d'un dossier de premier niveau d'un partage réseau à partir du menu 
         contextuel de l'explorateur échouait avec l'erreur « Impossible d'ouvrir ».

Prix de la licence : 29.95€ hors taxe


On peut changer la barre d'icônes via des thèmes
https://www.rarlab.com/themes.htm

2025-02-18_110259.jpg

Ceci dit, est ce que vous avez besoin de WinRar ? NON pour 99% des utilisateurs qui ne s'en servent QUE pour décompacter
De plus le format .rar est de moins en moins présent sur le net, on y voit plutôt du .zip
WinRAR est surtout utilisé pour le compactage, pour des utilisations particulières

WinRar c'est comme WinZIp.. Ce sont des programmes anciens qui étaient plutôt connus du temps de XP et Win7 et.. surtout du fait de clés PRO facilement trouvables
Les habitudes sont tenaces :-)
S'en servir c'est du même ordre que d'acheter une suite Office avec Word pour écrire une lette à tata Ginette une fois par an
On peut penser que d'ici quelques années WinRar disparaitra...(Qui achète des licences WinRar ?)

Reste l'interface qui est sympa..