Эксперты насчитали более 100 эксплойтов для уязвимости WinRAR
Несмотря на то, что в новом релизе проблему устранили, атаки по-прежнему продолжаются.
В конце февраля 2019 года специалисты Check Point сообщили о серьезной уязвимости (CVE-2018-20250) в WinRAR и продемонстрировали ее эксплуатацию. Практически все 500 млн пользователей WinRAR оказались под угрозой, так как найденная проблема существовала в коде архиватора примерно 19 лет, сообщает KZ-CERT.
Уязвимость связана со старой сторонней библиотекой UNACEV2.DLL: оказалось, что можно создать специальный архив ACE, который при распаковке сможет поместить вредоносный файл в произвольную директорию, в обход фактического пути для распаковки (например, добавив малварь в автозагрузку).
Проблему устранили с релизом WinRAR 5 70 Beta 1, еще в январе текущего года. Разработчики приняли решение отказаться от поддержки формата ACE вовсе. Тем не менее, первые атаки на уязвимость были замечены экспертами уже в феврале. Тогда спамеры начали прикладывать к своим посланиям вредоносные архивы, которые при распаковке заражают машину пострадавшего бэкдором. Злоумышленники использовали самые разные «приманки» для своих жертв, начиная от откровенных фото и технической документации, и заканчивая политическими новостями.
Теперь аналитики McAfee опубликовали отчет, согласно которому в настоящее время атаки по-прежнему продолжаются, и уязвимость пытается эксплуатировать множество хакерских групп. К примеру, одна из групп маскирует малварь под альбом Thank U, Next Арианы Гранде.
Исследователи насчитали уже более 100 уникальных эксплойтов для данной проблемы, и отмечают, что это совсем неудивительно. WinRAR с его огромной пользовательской базой — прекрасная цель для злоумышленников, и после обхода UAC пользователь не видит никаких предупреждающих сообщений. Малварь просто начинает работать после следующего старта системы.