Una vulnerabilità WinRAR viene ampiamente sfruttata perché l'utilità di archiviazione non consente l'aggiornamento automatico a una versione con patch.
Punti chiave
- La popolarità di WinRAR è minacciata dal supporto nativo di Windows 11 per i formati di compressione, ma gli utenti dovrebbero aggiornare il software a causa di una vulnerabilità della sicurezza sfruttata da programmi sponsorizzati dallo stato attori.
- La vulnerabilità consentiva agli autori delle minacce di eseguire codice dannoso quando gli utenti aprivano file apparentemente innocui all'interno degli archivi ZIP.
- Lo sfruttamento della vulnerabilità evidenzia l'importanza di mantenere aggiornato il software e la necessità che i fornitori offrano modi più semplici per aggiornare il software.
WinRAR è una delle utilità di compressione più utilizzate in circolazione, tuttavia Windows 11 potrebbe cercare di intaccare la sua popolarità con supporto nativo per i formati 7Z, RAR e TAR.GZ. Tuttavia, coloro che sfruttano WinRAR potrebbero voler aggiornare il software il prima possibile poiché, secondo quanto riferito, una vulnerabilità della sicurezza viene sfruttata da alcuni attori sponsorizzati dallo stato.
In un post sul blog scritto da Google, la società afferma che il suo Threat Analysis Group (TAG) ha identificato più istanze di gruppi di hacking che utilizzano una vulnerabilità ora corretta in WinRAR. A quanto pare, il software di archiviazione conteneva un bug di sicurezza che causava "un'espansione estranea dei file temporanei durante l'elaborazione degli archivi creati, combinata con una stranezza nell'implementazione di Windows' ShellExecute quando si tenta di aprire un file con un'estensione contenente spazi." Ciò significava che un autore di minacce poteva eseguire codice dannoso se un utente apriva un file apparentemente sicuro all'interno di uno ZIP archivio.
Sebbene la falla di sicurezza sia stata colmata dallo sviluppatore di WinRAR RARLabs nell'agosto 2023, diversi gruppi di hacker come FROZENBARENTS, FROZENLAKE e ISLANDDREAMS ha sfruttato il problema nel software privo di patch per eseguire campagne dannose in diversi paesi come Ucraina e Papua Nuova Guinea.
Il motivo principale dietro questo sfruttamento diffuso è che WinRAR non si aggiorna automaticamente, il che significa che i clienti che utilizzano una versione precedente del software sono vulnerabili a sfruttamento. A partire da ora, WinRAR versione 6.23 e 6.24 contengono la correzione di sicurezza in questione.
Google ha notato che la diffusione di questo exploit non sottolinea solo l'importanza degli utenti mantenere aggiornato il proprio software, ma anche la necessità per i fornitori di offrire metodi più semplici per l'aggiornamento Software. Se sei curioso di sapere come viene sfruttata la vulnerabilità o vuoi conoscere gli indicatori di compromissione (IOC) associati, assicurati di controllare il sito dell'azienda post dettagliato sul blog.