Минулими вихідними стало відомо про вразливість популярного архіватора WinRAR, яку було виправлено в новій версії 6.23. Згодом з’ясувалося, що до цього оновлення в програми була інша вразливість, яку експлуатували хакери, і наслідки цих помилок можуть виявитися серйозними, оскільки вразливості зачіпають і інше ПЗ.
Раніше стало відомо, що архіватор WinRAR містить уразливість, яку зловмисники можуть використати для виконання довільного коду – вона відстежується під номером CVE-2023-40477 і має рейтинг 7,8 з 10 (високий). Проблема полягає в некоректній перевірці даних у так званих томах відновлення для архівів RAR, внаслідок чого шкідливий код отримує доступ до області за межами виділеного буфера пам’яті. Шкідливий код виконується під час спроби відкрити такий спеціально підготовлений архів.
⚡️Group-IB Threat intelligence discovers a new 0-day in #WinRAR used to target traders#CVE-2023-38831 allows TAs to spoof file extensions and hide the launch of malicious script within a ZIP archive masquerading as a '.jpg', '.txt', and other formats ➡️https://t.co/xNqCSrNTZX pic.twitter.com/32U7eWlmNN
— Group-IB Threat Intelligence (@GroupIB_TI) August 23, 2023
Через деякий час експерти Group-IB розповіли про вразливість CVE-2023-38831 (рейтинг поки що не присвоєно), яку експлуатує з квітня невідоме хакерське угруповання, що обрало жертвами співробітників брокерських контор. Ця вразливість дає змогу маскувати шкідливі скрипти під нешкідливі, на перший погляд, файли JPG і TXT, подвійний клік на які в архіві також запускає їх на виконання.
Обидві вразливості було виправлено. Компанія Rarlab відповідальна також за бібліотеки unrar.dll і unrar64.dll, які, імовірно, теж уразливі, і вони входять до складу безлічі інших програм. Привід для підозр з’явився з оновленням не менш культового, ніж архіватор WinRAR, файлового менеджера Total Commander: у зауваженнях до збірки 11.01 RC1 зазначено, що виправлено критичну вразливість бібліотеки unrar.dll, і цю бібліотеку за необхідності пропонується завантажити окремо. Згодом розробник програми Крістіан Гіслер пояснив на форумі проєкту: “Ніхто не знає, чи є вразливим також unrar.dll, чи це сам WinRAR. Але оскільки я зараз готую вихід TC 11.01, я в будь-якому разі додам до нього нові бібліотеки unrar”.
У німецькому інституті кібербезпеки AV-Test пояснили, що в їхній базі налічується понад 400 програм, що використовують unrar.dll і unrar64.dll, зокрема антивірусні програми. Ймовірно, найближчим часом ці бібліотеки будуть замінюватися у всіх оновленнях цих програм. Не можна не згадати і Windows, чий “Провідник” незабаром має отримати вбудовану підтримку архівів RAR. І тут теж є нюанс: відкрита бібліотека від Rarlab написана на C++, а підтримка формату RAR “Провідником” реалізується на базі коду libarchive – ця бібліотека використовує власну реалізацію C. А отже, якщо вразливість якимось чином торкнулася libarchive, компанії Microsoft доведеться закрити її перед виходом загальнодоступного оновлення Windows, де “Провідник” підтримуватиме RAR.
Читайте також:
- Huawei отримала сертифікат безпеки найвищого рівня для операційних систем смарт-пристроїв
- Microsoft звинуватили у “кричущому нехтуванні” кібербезпекою
То ось у чому справа… А я думаю, чого це останній тиждень прям навала ботів у фб і всі шлють архіви rar :)