Κάποιοι χάκερς άρχισαν να εκμεταλλεύονται μια ευπάθεια που επιτρέπει εκτέλεση κώδικα και αποκαλύφθηκε πρόσφατα στο WinRAR, ένα πρόγραμμα συμπίεσης αρχείων των Windows, με 500 εκατομμύρια χρήστες παγκοσμίως. Η εκμετάλλευση αυτής της ευπάθειας επιτρέπει την εγκατάσταση κακόβουλων προγραμμάτων, τα οποία αυτή τη στιγμή, δεν έχουν εντοπιστεί από τη συντριπτική πλειοψηφία των antivirus προϊόντων.
Το σφάλμα, το οποίο αποκαλύφθηκε τον προηγούμενο μήνα από το Check Point Research, συγκέντρωσε αμέσως την προσοχή όλων επειδή επιτρέπει στους επιτιθέμενους να εγκαταστήσουν, κρυφά, κακόβουλες εφαρμογές όταν ένας στόχος ανοίγει ένα συμπιεσμένο αρχείο ZIP χρησιμοποιώντας οποιαδήποτε έκδοση του WinRAR, που κυκλοφόρησε τα τελευταία 19 χρόνια. Οι επιθέσεις path traversal κατέστησαν δυνατή την εξαγωγή archive αρχείων στον startup φάκελο των Windows (ή σε οποιοδήποτε άλλο φάκελο επιλέξει ο δημιουργός του αρχείου) χωρίς να υπάρχει προειδοποίηση. Από εκεί, τα κακόβουλα payloads θα μπορούν να εκτελεστούν αυτόματα την επόμενη φορά που θα γίνει επανεκκίνηση του υπολογιστή.
Την Πέμπτη, ένας ερευνητής της McAfee ανέφερε ότι η εταιρεία ασφαλείας εντόπισε “100 διαφορετικές εκμεταλλεύσεις” μέσα στην πρώτη εβδομάδα από τη στιγμή που αποκαλύφθηκε η ευπάθεια. Μέχρι στιγμής, οι περισσότεροι από τους στόχους βρίσκονται στις ΗΠΑ.
“Ένα πρόσφατο παράδειγμα αφορά σε ένα παράνομο αντίγραφο του άλμπουμ της Ariana Grande, Thank U, Next, με όνομα αρχείου “Ariana_Grande-thank_u, _next (2019) _ [320] .rar”, γράφει ο ερευνητής της McAfee, Craig Schmugar στο post. “Όταν χρησιμοποιείται μια ευάλωτη έκδοση του WinRAR για την εξαγωγή των περιεχομένων αυτού του αρχείου, δημιουργείται ένα κακόβουλο payload στο Startup φάκελο. Ο έλεγχος πρόσβασης χρηστών (UAC) παρακάμπτεται, επομένως δεν εμφανίζεται καμία ειδοποίηση στον χρήστη. Την επόμενη φορά που θα γίνει επανεκκίνηση του συστήματος, θα εκτελεστεί το κακόβουλο πρόγραμμα”.
Τα screenshots που περιλαμβάνονται στην ανάρτηση δείχνουν ότι το κακόβουλο αρχείο εξήγαγε αβλαβή αρχεία MP3 στο φάκελο λήψεων του στόχου. Ωστόσο, το αρχείο RAR εξήγαγε επίσης, κρυφά, ένα αρχείο με τίτλο “hi.exe” στον startup φάκελο. Μόλις έγινε επανεκκίνηση στον υπολογιστή, εγκαταστάθηκε ένα trojan που, σύμφωνα με την υπηρεσία VirusTotal που ανήκει στην Google, εντοπίστηκε από μόλις εννέα AV providers. Ο Schmugar δεν είπε εάν και οι 100 εκμεταλλεύσεις, που ανακάλυψε η McAfee, εγκατέστησαν το ίδιο κακόβουλο λογισμικό.
Οι αναζητήσεις στο Web δείχνουν ότι ένα RAR αρχείο Ariana Grande με τον ίδιο τίτλο, που προσδιορίστηκε από την McAfee, κυκλοφορεί αυτή τη στιγμή σε υπηρεσίες λήψης BitTorrent. Επίσης διαφημίζεται στο Twitter. Οι άνθρωποι θα πρέπει να είναι καχύποπτοι με κάθε αρχείο που προσφέρεται για λήψη στο διαδίκτυο. Οι χρήστες του WinRAR θα πρέπει να εξασφαλίσουν ότι χρησιμοποιούν την έκδοση 5.70. Οποιαδήποτε άλλη έκδοση είναι ευάλωτη σε αυτές τις επιθέσεις. Μια άλλη λύση είναι η μετάβαση στο 7zip.
