Uma vulnerabilidade do WinRAR está sendo amplamente explorada porque o utilitário de arquivamento não permite a atualização automática para uma versão corrigida.
Principais conclusões
- A popularidade do WinRAR está sendo ameaçada pelo suporte nativo do Windows 11 para formatos de compactação, mas os usuários devem atualizar o software devido a uma vulnerabilidade de segurança que está sendo explorada por organizações patrocinadas pelo estado atores.
- A vulnerabilidade permitiu que os agentes da ameaça executassem códigos maliciosos quando os usuários abriam arquivos aparentemente inofensivos em arquivos ZIP.
- A exploração da vulnerabilidade destaca a importância de manter o software atualizado e a necessidade dos fornecedores oferecerem maneiras mais fáceis de atualizar o software.
WinRAR é um dos utilitários de compactação mais usados, embora O Windows 11 pode estar tentando diminuir sua popularidade com suporte nativo para formatos 7Z, RAR e TAR.GZ. No entanto, aqueles que utilizam o WinRAR podem querer atualizar o software o mais rápido possível, pois uma vulnerabilidade de segurança está sendo explorada por certos atores patrocinados pelo Estado.
Em um postagem no blog Escrito pelo Google, a empresa afirma que seu Grupo de Análise de Ameaças (TAG) identificou várias instâncias de grupos de hackers utilizando uma vulnerabilidade agora corrigida no WinRAR. Aparentemente, o software de arquivamento hospedava um bug de segurança que causava “expansão temporária estranha de arquivos ao processar arquivos criados, combinada com uma peculiaridade na implementação do Windows”. ShellExecute ao tentar abrir um arquivo com uma extensão contendo espaços." Isso significava que um agente de ameaça poderia executar código malicioso se um usuário abrisse um arquivo aparentemente seguro dentro de um ZIP arquivo.
Embora a falha de segurança tenha sido corrigida pelo desenvolvedor WinRAR RARLabs em agosto de 2023, vários grupos de hackers como FROZENBARENTS, FROZENLAKE e A ISLANDDREAMS tem aproveitado o problema em software não corrigido para executar campanhas maliciosas em vários países como Ucrânia e Papua Nova Guiné.
A principal razão por trás da exploração generalizada é que o WinRAR não atualiza automaticamente, o que significa que os clientes que executam uma versão mais antiga do software estão vulneráveis a exploração. A partir de agora, as versões 6.23 e 6.24 do WinRAR contêm a correção de segurança em questão.
O Google observou que a disseminação desta exploração não enfatiza apenas a importância dos usuários manter seu software atualizado, mas também a necessidade dos fornecedores oferecerem maneiras mais fáceis de atualizar Programas. Se você está curioso para saber como a vulnerabilidade é explorada ou deseja saber sobre os indicadores de comprometimento (IOCs) associados, verifique o site da empresa postagem detalhada no blog.