Исследователи из Cisco нашли уязвимость в программном пакете Lhasa, весьма популярном у разработчиков компьютерных игр в 90-е годы и изредка применяемом и в наши дни.

По свидетельству Cisco Talos, найденное ими упущение позволяет провести классическую атаку heap spray, использующую ошибки в работе с памятью приложения. В своей публикации исследователи отметили, что такую атаку можно провести с помощью специально созданного архивного файла формата LHA/LZH. В группу риска при этом попадают множество средств обеспечения безопасности, в том числе клиентские антивирусы, которые могут быть скомпрометированы при сканировании сжатых файлов LHA/LZH.

«Вредоносный LZH-архив можно послать в компанию по электронной почте, — пояснил Threatpost Крейг Уильямс (Craig Williams), руководитель группы Talos и менеджер Cisco по пропаганде ИБ. — Письмо попадет на почтовый сервер, где защитное решение опознает вложение как подозрительное. При разуплотнении файла для его сканирования активируется heap spray-эксплойт, и атакующий сможет закрепиться в целевой сети».

Данная уязвимость (CVE-2016-2347), обнаруженная в минувшем октябре, кроется в Lhasa, инструменте для распаковки файлов LZH/LHA, а более конкретно — в библиотеке, используемой для парсинга и извлечения контента. Дело в том, что эта библиотека проверяет размер заголовков исходя лишь из максимально допустимого значения, что чревато потерей значимости целочисленных данных (integer underflow).

«Софт удостоверяет, что значение заголовка не слишком большое, но не отслеживает слишком маленькие заголовки, — пишут исследователи в блоге Talos. — Разуплотнение файла LHA или LZH с заголовком, размер которого ниже допустимого значения, приводит к тому, что указатель привязывается к высвобожденной памяти в куче. С помощью этой уязвимости злоумышленник, контролирующий длину и содержимое такого файла, сможет переписать хип произвольным кодом».

В своем комментарии Threatpost Уильямс также отметил, что, поскольку речь идет о довольно редком стандарте сжатия, под ударом оказались защитные сканеры, поддерживающие этот формат в силу необходимости, а именно те, которые осуществляют проверку файлов, вложенных в письма, скачиваемых из Интернета и т.п. «Велика вероятность, что Lhasa поддерживает значительное количество защитных решений и антивирусных продуктов, выполняющих разархивацию и сканирование», — предупреждает эксперт.

Категории: Главное, Уязвимости