Уязвимость WinRAR широко используется, поскольку утилита архивирования не позволяет автоматически обновляться до исправленной версии.
Ключевые выводы
- Популярности WinRAR угрожает встроенная поддержка форматов сжатия в Windows 11, но пользователи должны обновить программное обеспечение из-за уязвимости безопасности, которую используют спонсируемые государством актеры.
- Уязвимость позволяла злоумышленникам выполнять вредоносный код, когда пользователи открывали, казалось бы, безобидные файлы в ZIP-архивах.
- Эксплуатация уязвимости подчеркивает важность обновления программного обеспечения и необходимость того, чтобы поставщики предлагали более простые способы обновления программного обеспечения.
WinRAR — одна из наиболее часто используемых утилит сжатия, хотя Windows 11, возможно, попытается снизить свою популярность со встроенной поддержкой форматов 7Z, RAR и TAR.GZ. Однако те, кто использует WinRAR, возможно, захотят обновить программное обеспечение как можно скорее, поскольку, как сообщается, уязвимость безопасности используется некоторыми спонсируемыми государством субъектами.
В Сообщение блога Сочиненная Google, компания сообщает, что ее группа анализа угроз (TAG) выявила несколько случаев, когда хакерские группы использовали уже исправленную уязвимость в WinRAR. Судя по всему, в программном обеспечении архивирования содержалась ошибка безопасности, которая приводила к «постороннему временному расширению файлов при обработке созданных архивов в сочетании с особенностью реализации Windows». ShellExecute при попытке открыть файл с расширением, содержащим пробелы». Это означало, что злоумышленник мог выполнить вредоносный код, если пользователь открыл, казалось бы, безопасный файл в ZIP-архиве. архив.
Хотя дыра в безопасности была закрыта разработчиком WinRAR RARLabs в августе 2023 года, несколько хакерских групп, таких как FROZENBARENTS, FROZENLAKE и ISLANDDREAMS используют проблему в необновленном программном обеспечении для запуска вредоносных кампаний в нескольких странах, таких как Украина и Папуа-Новая Гвинея.
Основная причина широкого распространения эксплуатации заключается в том, что WinRAR не обновляется автоматически. это означает, что клиенты, использующие более старую версию программного обеспечения, уязвимы для эксплуатация. На данный момент WinRAR версии 6.23 и 6.24 содержат рассматриваемое исправление безопасности.
В Google отметили, что распространение этого эксплойта не только подчеркивает важность пользователей поддержание своего программного обеспечения в актуальном состоянии, но также и необходимость того, чтобы поставщики предлагали более простые способы обновления. программное обеспечение. Если вам интересно, как эксплуатируется уязвимость, или вы хотите узнать о связанных с ней индикаторах компрометации (IOC), обязательно ознакомьтесь с документацией компании. подробный пост в блоге.