En WinRAR-sårbarhet utnyttjas i stor utsträckning eftersom arkiveringsverktyget inte tillåter automatisk uppdatering till en korrigerad version.
Viktiga takeaways
- WinRAR: s popularitet hotas av Windows 11:s inbyggda stöd för komprimeringsformat, men användare bör uppdatera programvaran på grund av en säkerhetsrisk som utnyttjas av statligt sponsrade skådespelare.
- Sårbarheten gjorde det möjligt för hotaktörer att köra skadlig kod när användare öppnade till synes ofarliga filer i ZIP-arkiv.
- Utnyttjandet av sårbarheten understryker vikten av att hålla programvaran uppdaterad och behovet av att leverantörer erbjuder enklare sätt att uppdatera programvara.
WinRAR är dock ett av de mest använda kompressionsverktygen där ute Windows 11 kanske vill göra ett snäpp i dess popularitet med inbyggt stöd för formaten 7Z, RAR och TAR.GZ. De som utnyttjar WinRAR kan dock vilja uppdatera programvaran så snart som möjligt eftersom en säkerhetsrisk enligt uppgift utnyttjas av vissa statligt sponsrade aktörer.
I en blogginlägg skrivet av Google säger företaget att dess Threat Analysis Group (TAG) har identifierat flera fall av hackinggrupper som använder en nu patchad sårbarhet i WinRAR. Uppenbarligen var arkiveringsmjukvaran värd för en säkerhetsbugg som orsakade "extra tillfällig filexpansion vid bearbetning av skapade arkiv, kombinerat med en egenhet i implementeringen av Windows" ShellExecute när man försöker öppna en fil med ett tillägg som innehåller mellanslag." Detta innebar att en hotaktör kunde exekvera skadlig kod om en användare öppnade en till synes säker fil i ett ZIP arkiv.
Även om säkerhetshålet täpptes till av WinRAR-utvecklaren RARLabs i augusti 2023, har flera hackningsgrupper som FROZENBARENTS, FROZENLAKE och ISLANDDREAMS har utnyttjat problemet i oparpad programvara för att köra skadliga kampanjer i flera länder som Ukraina och Papua New Guinea.
Huvudorsaken bakom det utbredda utnyttjandet är att WinRAR inte uppdateras automatiskt, vilket innebär att kunder som kör en äldre version av programvaran är sårbara för utnyttjande. Från och med nu innehåller WinRAR version 6.23 och 6.24 säkerhetskorrigeringen i fråga.
Google har noterat att spridningen av denna exploatering inte bara betonar vikten av användare hålla sin mjukvara uppdaterad, men också behovet för leverantörer att erbjuda enklare sätt att uppdatera programvara. Om du är nyfiken på hur sårbarheten utnyttjas eller vill veta om de tillhörande kompromissindikatorerna (IOCs), se till att kolla in företagets detaljerat blogginlägg.