Уязвимостта на WinRAR се използва широко, тъй като помощната програма за архивиране не позволява автоматично актуализиране до версия с корекция.
Ключови изводи
- Популярността на WinRAR е застрашена от вградената поддръжка на Windows 11 за формати за компресиране, но потребителите трябва да актуализират софтуера поради уязвимост в сигурността, която се използва от спонсорирани от държавата актьори.
- Уязвимостта позволи на участниците в заплахата да изпълнят злонамерен код, когато потребителите отварят привидно безобидни файлове в ZIP архиви.
- Използването на уязвимостта подчертава значението на поддържането на софтуера актуален и необходимостта доставчиците да предлагат по-лесни начини за актуализиране на софтуера.
WinRAR е една от най-използваните помощни програми за компресиране Windows 11 може да се стреми да намали популярността си с вградена поддръжка за формати 7Z, RAR и TAR.GZ. Въпреки това, тези, които използват WinRAR, може да искат да актуализират софтуера възможно най-скоро, тъй като се съобщава, че уязвимост в сигурността се използва от определени субекти, спонсорирани от държавата.
В блог пост написано от Google, компанията казва, че нейната група за анализ на заплахи (TAG) е идентифицирала множество случаи на хакерски групи, използващи вече коригирана уязвимост в WinRAR. Очевидно софтуерът за архивиране е хоствал грешка в сигурността, която е причинила "извънредно временно разширение на файлове при обработка на създадени архиви, съчетано с странност в внедряването на Windows" ShellExecute при опит за отваряне на файл с разширение, съдържащо интервали." Това означаваше, че заплаха може да изпълни зловреден код, ако потребител отвори привидно безопасен файл в ZIP архив.
Въпреки че дупката в сигурността беше запушена от разработчика на WinRAR RARLabs през август 2023 г., множество хакерски групи като FROZENBARENTS, FROZENLAKE и ISLANDDREAMS използват проблема в необработен софтуер, за да стартират злонамерени кампании в няколко страни като Украйна и Папуа Нова Гвинея.
Основната причина зад широко разпространената експлоатация е, че WinRAR не се актуализира автоматично, което означава, че клиентите, които използват по-стара версия на софтуера, са уязвими към експлоатация. Към момента WinRAR версия 6.23 и 6.24 съдържат въпросната корекция за сигурност.
Google отбеляза, че разпространението на този експлойт не само подчертава важността на потребителите поддържане на техния софтуер актуален, но и необходимостта доставчиците да предлагат по-лесни начини за актуализиране софтуер. Ако сте любопитни как се използва уязвимостта или искате да знаете за свързаните индикатори за компрометиране (IOC), не забравяйте да проверите на компанията подробна публикация в блога.