En WinRAR-sårbarhet blir mye utnyttet fordi arkiveringsverktøyet ikke tillater automatisk oppdatering til en oppdatert versjon.
Viktige takeaways
- WinRARs popularitet blir truet av Windows 11s opprinnelige støtte for komprimeringsformater, men brukere bør oppdatere programvaren på grunn av en sikkerhetssårbarhet som utnyttes av statsstøttet skuespillere.
- Sårbarheten tillot trusselaktører å kjøre ondsinnet kode når brukere åpnet tilsynelatende harmløse filer i ZIP-arkiver.
- Utnyttelsen av sårbarheten fremhever viktigheten av å holde programvare oppdatert og behovet for leverandører for å tilby enklere måter å oppdatere programvare på.
WinRAR er et av de mest brukte komprimeringsverktøyene der ute, men Windows 11 er kanskje ute etter å gjøre et innhugg i populariteten med innebygd støtte for 7Z-, RAR- og TAR.GZ-formatene. Imidlertid vil de som utnytter WinRAR kanskje oppdatere programvaren så snart som mulig, da en sikkerhetssårbarhet rapporteres blir utnyttet av visse statsstøttede aktører.
I en blogg innlegg skrevet av Google, sier selskapet at Threat Analysis Group (TAG) har identifisert flere tilfeller av hacking-grupper som bruker en nå-patchet sårbarhet i WinRAR. Tilsynelatende var arkiveringsprogramvaren vert for en sikkerhetsfeil som forårsaket "eksternt midlertidig filutvidelse ved behandling av utformede arkiver, kombinert med en særhet i implementeringen av Windows" ShellExecute når du forsøker å åpne en fil med en utvidelse som inneholder mellomrom." Dette betydde at en trusselaktør kunne utføre ondsinnet kode hvis en bruker åpnet en tilsynelatende sikker fil i en ZIP arkiv.
Selv om sikkerhetshullet ble plugget av WinRAR-utvikleren RARLabs i august 2023, har flere hackinggrupper som FROZENBARENTS, FROZENLAKE og ISLANDDREAMS har utnyttet problemet i uoppdatert programvare for å kjøre ondsinnede kampanjer i flere land som Ukraina og Papua New Guinea.
Hovedårsaken bak den utbredte utnyttelsen er at WinRAR ikke automatisk oppdateres, som betyr at kunder som kjører en eldre versjon av programvaren er sårbare for utnyttelse. Per nå inneholder WinRAR versjon 6.23 og 6.24 den aktuelle sikkerhetsoppdateringen.
Google har bemerket at spredningen av denne utnyttelsen ikke bare understreker viktigheten av brukere holde programvaren oppdatert, men også behovet for at leverandører tilbyr enklere måter å oppdatere på programvare. Hvis du er nysgjerrig på hvordan sårbarheten utnyttes eller ønsker å vite om de tilknyttede indikatorene for kompromiss (IOCs), sørg for å sjekke ut selskapets detaljert blogginnlegg.