Een WinRAR-kwetsbaarheid wordt op grote schaal misbruikt omdat het archiveringshulpprogramma niet toestaat dat automatisch wordt bijgewerkt naar een gepatchte versie.
Belangrijkste leerpunten
- De populariteit van WinRAR wordt bedreigd door de native ondersteuning van Windows 11 voor compressieformaten, maar... gebruikers moeten de software bijwerken vanwege een beveiligingsprobleem dat door de staat wordt uitgebuit acteurs.
- Door het beveiligingslek konden bedreigingsactoren kwaadaardige code uitvoeren wanneer gebruikers ogenschijnlijk ongevaarlijke bestanden in ZIP-archieven openden.
- De exploitatie van de kwetsbaarheid onderstreept het belang van het up-to-date houden van software en de noodzaak voor leveranciers om eenvoudigere manieren aan te bieden om software bij te werken.
WinRAR is echter een van de meest gebruikte compressiehulpprogramma's Windows 11 wil mogelijk een deuk in zijn populariteit maken met native ondersteuning voor de formaten 7Z, RAR en TAR.GZ. Degenen die WinRAR gebruiken, willen de software wellicht zo snel mogelijk bijwerken, omdat naar verluidt een beveiligingsprobleem wordt uitgebuit door bepaalde door de staat gesponsorde actoren.
In een blogpost Het bedrijf, geschreven door Google, zegt dat zijn Threat Analysis Group (TAG) meerdere gevallen heeft geïdentificeerd van hackgroepen die gebruik maken van een inmiddels gepatchte kwetsbaarheid in WinRAR. Blijkbaar bevatte de archiveringssoftware een beveiligingsfout die "vreemde tijdelijke bestandsuitbreiding veroorzaakte bij het verwerken van vervaardigde archieven, gecombineerd met een eigenaardigheid in de implementatie van Windows' ShellExecute bij poging een bestand te openen met een extensie die spaties bevat." Dit betekende dat een bedreigingsacteur kwaadaardige code kon uitvoeren als een gebruiker een ogenschijnlijk veilig bestand in een ZIP-bestand opende. archief.
Hoewel het beveiligingslek in augustus 2023 door WinRAR-ontwikkelaar RARLabs werd gedicht, hebben meerdere hackgroepen zoals FROZENBARENTS, FROZENLAKE en ISLANDDREAMS maakt gebruik van het probleem in ongepatchte software om kwaadaardige campagnes uit te voeren in verschillende landen, zoals Oekraïne en Papoea-Nieuwe Guinea.
De belangrijkste reden achter de wijdverbreide exploitatie is dat WinRAR niet automatisch wordt bijgewerkt. wat betekent dat klanten die een oudere versie van de software gebruiken, kwetsbaar zijn exploitatie. Vanaf nu bevatten WinRAR versie 6.23 en 6.24 de betreffende beveiligingsoplossing.
Google heeft opgemerkt dat de verspreiding van deze exploit niet alleen het belang van gebruikers benadrukt het up-to-date houden van hun software, maar ook de noodzaak voor leveranciers om gemakkelijker manieren aan te bieden om te updaten software. Als je nieuwsgierig bent naar hoe de kwetsbaarheid wordt uitgebuit of meer wilt weten over de bijbehorende indicatoren van compromissen (IOC's), kijk dan eens naar de website van het bedrijf gedetailleerde blogpost.