La communication serveur-client dans certaines versions de l’outil de compression de fichiers WinZip n’est pas sécurisée et pourrait être modifiée pour diffuser des logiciels malveillants ou du contenu frauduleux aux utilisateurs.

WinZip est un utilitaire de longue date pour les utilisateurs de Windows avec des besoins d’archivage de fichiers au-delà de la prise en charge intégrée au système d’exploitation.

Initialement publié il y a près de 30 ans, l’outil propose désormais des versions pour macOS, Android et iOS, ainsi qu’une édition entreprise qui ajoute des fonctionnalités de collaboration. Selon son site Internet, l’application compte plus d’un milliard de téléchargements.

Trafic en texte clair

WinZip est actuellement à la version 25, mais les versions antérieures vérifient le serveur pour les mises à jour via une connexion non chiffrée, une faiblesse qui pourrait être exploitée par un acteur malveillant.

Martin Rakhmanov de Trustwave SpiderLabs Le chercheur a capturé le trafic d’une version vulnérable de l’outil pour montrer que la communication non cryptée.

Compte tenu de la nature non sécurisée du canal de communication, Rakhmanov affirme que le trafic peut être «saisi, manipulé ou détourné» par un attaquant sur le même réseau que l’utilisateur WinZip.

Un risque découlant de cette action est l’empoisonnement DNS, qui incite l’application à récupérer une fausse mise à jour à partir d’un serveur Web malveillant.

«En conséquence, un utilisateur sans méfiance peut lancer du code arbitraire comme s’il s’agissait d’une mise à jour valide», note Rakhmanov dans un article de blog aujourd’hui.

Sur les versions enregistrées de WinZip qui sont vulnérables, l’attaquant pourrait également obtenir des informations potentiellement sensibles telles que le nom d’utilisateur et le code d’enregistrement.

Rakhmanov dit que la communication en texte clair est également utilisée pour afficher des pop-ups informant les utilisateurs avec une version d’essai gratuite de WinZip du temps qu’il leur reste pour les tests.

Le contenu de la fenêtre contextuelle est du HTML qui récupère JavaScript. Cela permet à un attaquant sur le réseau d’exposer les utilisateurs à un contenu arbitraire qui semble provenir directement des serveurs WinZip.

Le…