Il noto gestore di archivi compressi WinZip (in particolare la versione 24.0) ha una vulnerabilità che si presenta durante le comunicazioni di rete che la popolare utility di compressione file instaura con il proprio server, in particolare nelle modalità in cui il software invia le richieste per verificare la disponibilità di aggiornamenti e visualizzare i popup al termine del periodo di prova gratuita.
Questa comunicazione, avvenendo in chiaro ed eseguita attraverso il protocollo HTTP, potrebbe essere impropriamente utilizzata per la distribuzione di malware verso i computer degli utenti.
Indice degli argomenti
WinZip: i dettagli della vulnerabilità
Con un packet sniffing eseguito via Wireshark sulla propria rete, il ricercatore Martin Rakhmanov di SpiderLabs (Trustwave Security) è stato in grado di acquisire informazioni sul pacchetto della richiesta di aggiornamento che il client WinZip avvia in automatico come impostazione di default.
Dettaglio del pacchetto di richiesta GET, acquisito via Wireshark, che Winzip fa al suo server e durante la quale si riscontra la vulnerabilità.
Come si può vedere dallo screenshot, la trasmissione della stringa di richiesta avviene impiegando il protocollo non crittografato HTTP e il metodo GET. Tale stringa, essendo in chiaro, può essere pertanto facilmente acquisita e manipolata da un osservatore intruso.
Un malintenzionato che si trovi sulla stessa rete dell’utente che esegue una versione vulnerabile di WinZip non solo potrebbe dirottare, tramite un DNS poisoning, il recupero degli aggiornamenti verso un server Web dannoso piuttosto che quello legittimo (facendo eseguire codice arbitrario), ma potrebbe anche carpire le altre informazioni sensibili che l’applicazione invia, sempre in chiaro, come parte della richiesta di aggiornamento stessa: il nominativo dell’intestatario di registrazione, il codice di attivazione e altre informazioni.
Attenti alle finestre popup nelle versioni di prova di WinZip
Come nello scenario precedente, un secondo problema simile è stato riscontrato anche nelle finestre popup che WinZip apre quando funziona in versione di prova.
In questo caso, i contenuti del form, che risulta implementato in HTML/JavaScript, vengono recuperati tramite HTTP, rendendo sempre possibile con una manipolazione l’esecuzione di codice arbitrario.
Un popup per l’aggiornamento alla versione a pagamento di WinZip.
Le possibili soluzioni
Per tutti questi motivi è importante che gli utilizzatori di WinZip adottino al più presto delle azioni che possano mitigare i potenziali effetti nocivi.
Al momento le uniche soluzioni possibili risultano essere quella di aggiornare WinZip all’ultima versione disponibile (la versione 25.0 utilizza HTTPS e non risulta più vulnerabile a questo tipo di attacchi) oppure, qualora si volesse continuare a utilizzare le versioni di prova, è necessario modificare le impostazioni in modo che il programma non chieda automaticamente gli aggiornamenti, ma ne consenta una verifica manuale.
Per fare questo, è sufficiente scegliere dalle Impostazioni la voce Opzioni WinZip, aprire la scheda Aggiornamenti e spuntare la casella di controllo Non controllare gli aggiornamenti.
