WinRAR ima kritičnu ranjivost koju hakeri već koriste za napade
Googleovi sigurnosni stručnjaci otkrili su prijetnju u popularnom programu za arhiviranje, koja omogućava napadačima izvršavanje proizvoljnih programa na računalima žrtava
Googleov tim za otkrivanje i analizu sigurnosnih prijetnji, Threat Analysis Group, otkrio je nedavno niz državno sponzoriranih napada na računalne sustave, čiji je vektor bio popularni program za arhiviranje datoteka, WinRAR. Ranjivost, u kolovozu i službeno prijavljena pod oznakom CVE-2023-38831, omogućava napadačima izvršavanje proizvoljnog programskog koda na napadnutim računalima. Sada je objavljeno i da je od početka godine ova sigurnosna rupa bila korištena u brojnim napadima, prije nego je otkrivena i zakrpana.
Opasan propust
WinRAR, dakle, u verzijama prije 6.23 sadrži ranjivost, koja omogućava napadaču da posebno pripremljenom .zip arhivom kompromitira napadnute Windowse. Napadač žrtvi mora poslati malicioznu arhivu, koja može sadržavati potpuno benignu datoteku primjerice sliku formata .jpg. Unutar takve se arhive mora nalaziti i mapa istog naziva. To će dovesti do logičke pogreške prilikom otvaranja arhive, pa će WinRAR privremeno raspakirati sadržaj mape, želi li korisnik pogledati samo benignu datoteku. Ako je u mapi smješten maliciozni program, on će se moći automatski pokrenuti u tom slučaju.
Google i stručnjaci iz kompanije Group-IB otkrili su da je ova metoda napada već korištena u nekoliko kampanja. Poslužili su se njome hakeri povezani s ruskom vojskom, u pokušaju napada na ukrajinska računala, s kojih su na taj način pokušali krasti podatke. Kao benigni zavaravajući dokumenti poslužile su im, primjerice, pozivnice na tečajeve upravljanja dronovima ili obrambene konferencije. Jedan primjer napada dolazi i iz Papuanske Nove Gvineje, gdje je zabilježeno da su propust pokušali iskoristiti hakeri povezani s Kinom.
Ažurirajte WinRAR
Iako je WinRAR dostupan i u nadograđenoj, zakrpanoj verziji, iz Googlea ističu da brojni korisnici nisu preuzeli najnoviju verziju, čime se izlažu ovom sigurnosnom propustu i mogućim napadima. Svim korisnicima, a primarno organizacijama savjetuju ažuriranje tog programa za arhiviranje, čija se aktualna inačica (6.24) može pronaći na službenim stranicama RarLaba.
Gmail već sada prepoznaje i blokira ovu prijetnju unutar .zip arhiva, a zaštićeni su i njihovi korisnici, koji su uključili sigurnosni alat Google Safe Browsing.
