Penyedia solusi keamanan siber Trustwave telah mengidentifikasi sejumlah kerentanan di WinZip (terbuka di tab baru) perangkat lunak kompresi file yang dapat digunakan untuk menyuntikkan malware ke perangkat pengguna. Ketidakamanan berada dalam saluran komunikasi server-klien.
Menurut Trustwave, beberapa versi WinZip berkomunikasi dengan server melalui koneksi yang tidak terenkripsi saat mencari pembaruan, mengirimkan permintaan dalam teks-jelas.
Akibatnya, koneksi HTTP dapat dengan mudah diambil alih oleh aktor ancaman dan digunakan sebagai cara untuk memasukkan malware secara diam-diam.
“Karena HTTP adalah teks-jelas yang tidak terenkripsi, HTTP dapat diambil, dimanipulasi, atau dibajak oleh siapa saja yang memiliki kemampuan untuk melihat lalu lintas tersebut,” Martin Rakhmanov, manajer riset keamanan di tim SpiderLabs Trustwave, menjelaskan (terbuka di tab baru).
“Ini berarti siapa pun di jaringan yang sama dengan pengguna yang menjalankan versi WinZip yang rentan dapat menggunakan teknik seperti peracunan DNS untuk mengelabui aplikasi agar mengambil file ‘pembaruan’ dari server web jahat alih-alih host pembaruan WinZip yang sah. Akibatnya, pengguna yang tidak menaruh curiga dapat meluncurkan kode arbitrer seolah-olah itu adalah pembaruan yang valid.”
Mitigasi ancaman
Masalah lain juga ditemukan oleh peneliti Trustwave. Misalnya, WinZip mengirimkan informasi yang berpotensi sensitif, termasuk nama pengguna dan kode registrasi, melalui saluran tidak terenkripsi yang sama saat mengirim permintaan pembaruan. Ini berarti penyerang dapat dengan mudah mendapatkan akses ke informasi ini juga.
Selain itu, di WinZip versi 24 – program telah diperbarui – jendela pop-up yang muncul selama mode Percobaan akan dengan mudah dimanipulasi oleh penyerang yang berdekatan dengan jaringan. Oleh karena itu, dimungkinkan untuk mengeksekusi kode arbitrer yang akan terlihat seolah-olah berasal langsung dari server WinZip.
Cara termudah bagi pengguna untuk melindungi diri dari serangan malware ini adalah dengan memutakhirkan ke WinZip 25, karena versi ini menggunakan HTTPS untuk komunikasi servernya. Jika pemutakhiran tidak mungkin dilakukan, pengguna harus menonaktifkan pemeriksaan pembaruan otomatis agar tetap aman.
