19‑letnia luka w programie WinRAR jest wykorzystywana do realnych ataków

Pod koniec lutego specjaliści opisali lukę w bardzo popularnym programie WinRAR, używanym do kompresowania plików przez ponad 500 mln osób na całym świecie. Nie minął miesiąc, z już w sieci zaobserwowano ataki, wykorzystujące tę lukę do instalacji szkodliwego oprogramowania.

Luka w programie WinRAR zyskała rozgłos między innymi dzięki temu, że w zasadzie naprawienie jej jest niemożliwe. Podatność istniała przez 19 lat. Winna jest biblioteka obsługująca archiwa ACE, której kod źródłowy dla systemu Windows prawdopodobnie przepadł. Programiści rozwijający WinRAR zdecydowali więc, że nie mają innego wyjścia i usuną obsługę tego formatu ze swojego programu. Zmiany zostały wprowadzone w życie z wersją 5.70 beta 1, ale wśród wieloletnich użytkowników archiwizera są miliony osób, które nie aktualizują go na bieżąco.

Przypomnijmy, że opisana luka pozwala uzyskać dostęp do folderów systemu i zainstalować malware ze specjalnie spreparowanego archiwum. Jeśli malware zostanie umieszczony w folderze autouruchamiania programów, bez ostrzeżenia będzie uruchamiany wraz z systemem.

Badacze z firmy McAfee znaleźli ponad 100 unikalnych exploitów w ciągu tygodnia od ujawnienia podatności. Jedna z odmian szkodliwego programu znajduje się w pirackiej kopii albumu Thank U, Next Arianny Grande w pliku Ariana_Grande-thank_u,next(2019)[320].rar.

Przy rozpakowywaniu tego archiwum w podatnej wersji programu WinRAR, w folderze z automatycznie uruchamianymi programami w systemie Windows zapisany zostanie malware. Pominięte przy tym zostaną zabezpieczenia User Access Control, więc użytkownik nie zostanie zapytany, czy zezwala na wprowadzenie zmian. Szkodliwy program hi.exe zostanie uruchomiony przy najbliższym uruchomieniu komputera i może pobrać trojana, którego wykrywa niewiele programów antywirusowych. Dla niepoznaki w archiwum znajdują się także pliki MP3 z muzyką.

W chwili pisania artykułu programy antywirusowe w większości nie rozpoznawały tych zagrożeń, ale to zapewne tylko kwestia czasu. Większość zaatakowanych mieszka w Stanach Zjednoczonych, ale Polacy również powinni mieć się na baczności. Analitycy nie zdradzili jeszcze, czy wszystkie znalezione przez nich exploity działały w ten sam sposób, ale już wiemy, że nie. Na naszym forum użytkownik opisał przypadek infekcji, do której zapewne doszło także przy rozpakowywaniu archiwum RAR. Tym razem na komputerze uruchomiony został szkodliwy program typu ransomware, żądający okupu za dostęp do plików.

Użytkownicy programu WinRAR powinni upewnić się, że korzystają z wersji programu o numerze minimum 5.70. W razie wątpliwości można też przesiąść się na darmowy program 7-Zip o podobnych możliwościach. Nie zaszkodzi też ostrożność przy ściąganiu spakowanych plików, niezależnie od tego, jakim programem zamierzamy je rozpakować.