Luka w zabezpieczeniach WinRAR jest szeroko wykorzystywana, ponieważ narzędzie do archiwizacji nie pozwala na automatyczną aktualizację do poprawionej wersji.
Kluczowe dania na wynos
- Popularność WinRAR jest zagrożona przez natywną obsługę formatów kompresji w systemie Windows 11, ale użytkownicy powinni aktualizować oprogramowanie ze względu na lukę w zabezpieczeniach wykorzystywaną przez sponsorowane przez państwo aktorzy.
- Luka umożliwia cyberprzestępcom wykonanie złośliwego kodu, gdy użytkownicy otwierają pozornie nieszkodliwe pliki w archiwach ZIP.
- Wykorzystanie luki uwydatnia znaczenie aktualizowania oprogramowania i potrzebę oferowania przez dostawców łatwiejszych sposobów aktualizacji oprogramowania.
WinRARA jest jednak jednym z najczęściej używanych narzędzi do kompresji Windows 11 może chcieć zmniejszyć swoją popularność z natywną obsługą formatów 7Z, RAR i TAR.GZ. Jednakże osoby korzystające z WinRAR mogą chcieć jak najszybciej zaktualizować oprogramowanie, ponieważ według doniesień luka w zabezpieczeniach jest wykorzystywana przez niektóre podmioty sponsorowane przez państwo.
W post na blogu napisany przez Google, firma twierdzi, że jej grupa ds. analizy zagrożeń (TAG) zidentyfikowała wiele przypadków grup hakerskich wykorzystujących obecnie załataną lukę w programie WinRAR. Najwyraźniej w oprogramowaniu do archiwizacji występował błąd zabezpieczeń, który powodował „zewnętrzne rozszerzanie plików tymczasowych podczas przetwarzania spreparowanych archiwów, w połączeniu z dziwactwem we wdrażaniu systemu Windows” ShellExecute podczas próby otwarcia pliku z rozszerzeniem zawierającym spacje.” Oznaczało to, że ugrupowanie zagrażające może wykonać złośliwy kod, jeśli użytkownik otworzy pozornie bezpieczny plik w formacie ZIP archiwum.
Chociaż luka w zabezpieczeniach została załatana przez twórcę WinRAR RARLabs w sierpniu 2023 r., wiele grup hakerskich, takich jak FROZENBARENTS, FROZENLAKE i ISLANDDREAMS wykorzystuje ten problem w niezałatanym oprogramowaniu do prowadzenia złośliwych kampanii w kilku krajach, takich jak Ukraina i Papua Nowa Gwinea.
Kluczową przyczyną powszechnego wykorzystania jest to, że WinRAR nie aktualizuje się automatycznie, co oznacza, że klienci korzystający ze starszej wersji oprogramowania są narażeni na ataki eksploatacja. Obecnie wersje WinRAR 6.23 i 6.24 zawierają kwestionowaną poprawkę bezpieczeństwa.
Google zauważył, że rozprzestrzenianie się tego exploita nie tylko podkreśla znaczenie użytkowników aktualizowanie oprogramowania, ale także potrzebę oferowania przez dostawców łatwiejszych sposobów aktualizacji oprogramowanie. Jeśli ciekawi Cię, w jaki sposób luka jest wykorzystywana lub chcesz poznać powiązane wskaźniki kompromisu (IOC), zapoznaj się z raportem firmy szczegółowy wpis na blogu.