A WinRAR 7.10 foi lançada ontem com várias novidades, como páginas de memória maiores, um modo escuro e a habilidade de ajustar finamente como as flags Mark-of-the-Web do Windows são propagadas ao extrair arquivos.
O WinRAR é uma popular ferramenta de arquivamento e compressão de arquivos para Windows que permite aos usuários criar, extrair e gerenciar arquivos comprimidos, principalmente nos formatos RAR, ZIP, entre outros.
Segundo o autor da ferramenta, ela é utilizada por 500 milhões de pessoas ao redor do mundo.
Ontem, a win.rar GmbH lançou a versão final do WinRAR 7.10, listando várias novas funcionalidades que aumentam a performance e a usabilidade do programa.
Essas novidades incluem a habilidade de habilitar páginas de memória maiores para aumentar a performance, uma interface de configurações reformulada e um tão esperado modo escuro.
Uma funcionalidade que se destacou é uma nova configuração que permite remover informações que podem ser consideradas um risco à privacidade do stream de dados alternativos Mark of The Web.
“A opção ‘Somente valor da zona’ no diálogo ‘Configurações/Segurança’ controla se a propagação do Mark of the Web do arquivo inclui apenas o valor da zona de segurança ou todos os campos disponíveis,” lê-se nas notas de lançamento do WinRAR 7.10.
Enquanto campos adicionais, como o local de download ou endereço IP, possam ajudar a identificar a fonte de um arquivo, eles podem ser uma preocupação de privacidade se o arquivo for compartilhado com outras pessoas.
Para aqueles que não estão familiarizados com o Mark-of-the-Web (MoTW), trata-se de um stream de dados alternativo chamado "Zone.Identifier" que é adicionado a arquivos baixados da Internet, incluindo de sites e e-mails.
Esse identificador avisa ao Windows e aplicativos compatíveis que o arquivo foi baixado de outro computador ou da Internet e, portanto, pode ser arriscado abri-lo.
Ao tentar abrir um arquivo baixado, o Windows verificará se existe um MoTW e, se sim, exibirá avisos adicionais ao usuário, perguntando se ele tem certeza de que deseja executar o arquivo.
O Microsoft Office também verifica a existência do Mark-of-the-Web e, se encontrado, abrirá documentos em Visualização Protegida, com o arquivo em modo somente leitura e macros desabilitadas.
Para verificar se um arquivo baixado tem o Mark-of-the-Web, você pode clicar com o botão direito nele no Windows Explorer e abrir suas propriedades.
Se o arquivo contiver um MoTW, você verá uma mensagem na parte inferior dizendo: "Este arquivo veio de outro computador e pode ser bloqueado para ajudar a proteger este computador."
Arquivos de arquivos modernos propagarão o MoTW encontrado nos arquivos para os arquivos extraídos, permitindo que esses arquivos também sejam protegidos com o recurso de segurança do Windows.
O MoTW é um recurso de segurança poderoso que é comumente alvo de atores de ameaças que tentam encontrar falhas zero-day que permitam que seus arquivos maliciosos ignorem os avisos de segurança do Windows.
No entanto, alguns podem considerá-lo uma preocupação com a privacidade, já que, se o arquivo for compartilhado com outra pessoa, o "Zone.Identifier" contém informações que podem revelar dados sensíveis sobre de onde o arquivo foi baixado.
Isso ocorre porque a flag Zone.Identifier contém muitas informações sobre um arquivo baixado, incluindo a Zona da Internet (ZoneID) de onde foi baixado, a URL do arquivo, a URL referente ao arquivo e, em alguns casos, o endereço IP do host de onde foi baixado.
Como parte do WinRAR 7.10, uma nova configuração chamada "Somente valor da zona" é habilitada por padrão, que remove todas as informações dos streams de dados alternativos MoTW, exceto o ZoneID, quando é propagado para arquivos extraídos.
Isso permite que o recurso de segurança Mark-of-the-Web continue a funcionar com arquivos extraídos, mas o stream de dados alternativos não possa mais ser utilizado para saber de onde o arquivo foi baixado.
Para aqueles que desejam habilitar a propagação completa dos dados MoTW, será necessário entrar nas configurações do WinRAR > Segurança e desmarcar "Somente valor da zona".
Embora essa nova configuração possa dificultar a forense digital, é um recurso bem-vindo para aqueles que desejam a máxima privacidade.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...