Ranljivost WinRAR se pogosto izkorišča, ker pripomoček za arhiviranje ne omogoča samodejnega posodabljanja na različico s popravki.
Ključni zaključki
- Priljubljenost WinRAR-ja ogroža izvorna podpora sistema Windows 11 za formate stiskanja, vendar uporabniki bi morali posodobiti programsko opremo zaradi varnostne ranljivosti, ki jo izkorišča država igralci.
- Ranljivost je akterjem groženj omogočila izvajanje zlonamerne kode, ko so uporabniki odprli na videz neškodljive datoteke v arhivih ZIP.
- Izkoriščanje ranljivosti poudarja pomen posodabljanja programske opreme in potrebo, da prodajalci ponudijo preprostejše načine za posodabljanje programske opreme.
WinRAR je eden najpogosteje uporabljenih pripomočkov za stiskanje, čeprav Windows 11 morda želi zmanjšati svojo priljubljenost z izvorno podporo za formate 7Z, RAR in TAR.GZ. Vendar pa bodo tisti, ki uporabljajo WinRAR, morda želeli posodobiti programsko opremo čim prej, saj naj bi določeni akterji, ki jih sponzorira država, izkoriščajo varnostno ranljivost.
V blog objava ki ga je napisal Google, podjetje pravi, da je njegova skupina za analizo groženj (TAG) odkrila več primerov hekerskih skupin, ki uporabljajo zdaj zakrpano ranljivost v WinRAR. Očitno je programska oprema za arhiviranje gostila varnostno napako, ki je povzročila "nepotrebno začasno razširitev datotek pri obdelavi izdelanih arhivov, skupaj s posebnostjo v implementaciji sistema Windows" ShellExecute pri poskusu odpiranja datoteke s pripono, ki vsebuje presledke.« To je pomenilo, da lahko povzročitelj grožnje izvede zlonamerno kodo, če uporabnik odpre na videz varno datoteko v ZIP-ju. arhiv.
Čeprav je varnostno luknjo avgusta 2023 zamašil razvijalec WinRAR RARLabs, je več hekerskih skupin, kot so FROZENBARENTS, FROZENLAKE in ISLANDDREAMS izkoriščajo težavo v nepopravljeni programski opremi za izvajanje zlonamernih kampanj v več državah, kot sta Ukrajina in Papua Nova Gvineja.
Ključni razlog za razširjeno izkoriščanje je, da se WinRAR ne posodablja samodejno, kar pomeni, da so stranke, ki uporabljajo starejšo različico programske opreme, ranljive za izkoriščanje. Trenutno WinRAR različici 6.23 in 6.24 vsebujeta zadevni varnostni popravek.
Google je opozoril, da širjenje tega izkoriščanja ne poudarja le pomena uporabnikov posodabljanje njihove programske opreme, ampak tudi potrebo, da prodajalci ponudijo enostavnejše načine posodabljanja programsko opremo. Če vas zanima, kako se izkorišča ranljivost, ali želite izvedeti več o povezanih indikatorjih ogroženosti (IOC), si oglejte podrobna objava v blogu.