WinRAR to jeden z najpopularniejszych programów do archiwizowania i kompresji danych, jednak zdaje się, że najczęściej stosowany do rozpakowania plików RAR. Jeżeli używacie jakiejkolwiek wersji aplikacji wydanej w ciągu ostatnich 19 lat, to jesteście narażeni na atak. Jak podaje serwis The Hacker News[1], nawet 500 milionów użytkowników może być podatnych, luka ma charakter krytyczny.
Atak polega na zdalnym wykonaniu kodu. Odkrycia dokonali badacze bezpieczeństwa z Check Point. Luka znajduje się w bibliotece UNACEV2.DLL, która jest wykorzystywana do wydobycia spakowanych plików, w formacie ACE.
Nie oznacza to wcale, że jeżeli użytkownik zobaczy, że np. pobrany plik zawiera rozszerzenie .ACE, to może założyć, że jest to potencjalnie niebezpieczna zawartość. WinRAR rozpoznaje typ archiwum nie po rozszerzeniu, ale zawartości. W związku z tym .ACE może zostać zmienione na .RAR, co raczej nie wzbudzi podejrzenia.
W czasie ataku plik zostaje wypakowany do folderu wskazanego przez atakującego, a nie przez użytkownika, co pozwala np. zostawić złośliwy kod w folderze Windows Startup. Przy ponownym włączeniu komputera, zostanie on uruchomiony wraz z innymi aplikacjami.
Na poniższym filmie widać przykładowy atak:
Najnowsza wersja WinRAR-a jest odporna na ten atak. Rozwiązaniem było całkowite usunięcie biblioteki UNACEV2.DLL i zrezygnowanie ze wsparcia dla archiwów ACE. Chociaż nie każdemu taki ruch się spodoba, to twórcy aplikacji nie zrobili tego z lenistwa, ale z konieczności. Okazuje się, że biblioteka została napisana w 2005 roku i nie wiadomo gdzie jest kod źródłowy… W takiej sytuacji chcąc zachować bezpieczeństwo, należało wykluczyć wsparcie dla ACE.
[1]https://thehackernews.com/2019/02/winrar-malware-exploit.html
