Używasz „pakera” WinRAR? Uważaj, bo atakujący może zdalnie wykonać kod na Twoim komputerze

Kilka słów o WinRAR-ze i krótkie wspomnienia z historii😊

Dinozaury informatyki (w szczególności ci z lat 90.) z pewnością pamiętają te małe przestrzenie dyskowe na komputerach, na których aż roiło się od spakowanych plików gier, „instalek” i innych danych. Były też wirusy, programy do krakowania itp., którymi nikt aż tak bardzo w tamtych czasach się nie przejmował😊 Były to także pionierskie czasy dla tzw. pakerów – programów archiwizujących, które stanowiły podstawowy komponent wyposażenia każdego komputera z „Windozą”. A wszystko po to, aby zaoszczędzić użytkownikowi jak najwięcej wolnej przestrzeni dyskowej, bo była ona często na wagę złota. Najczęściej były to instalowane wersje trial (w szczególności WinRAR), używane do pracy niczym szwajcarski scyzoryk. Pozostałości po tym widzimy do tej pory, bo każdy nowy system operacyjny Windows posiada już taki podstawowy wbudowany „paker”. Dla użytkowników bardziej wymagających i organizacji, które chcą jeszcze lepiej zabezpieczyć pliki hasłem (zaszyfrować) oraz korzystać z lepszych funkcjonalności archiwizowania i rozpakowywania danych, producent RARLAB udostępnia oraz wciąż rozwija program WinRAR.

Jako ciekawostkę dodamy, że pierwsze wersje WinRAR-a pojawiły się wraz z wydaniem Windows 95, czyli 28 lat temu (22.04.1995)!

Współcześnie kompresowanie danych może nie ma aż takiego znaczenia, bo przyzwyczailiśmy się do dużych przestrzeni dyskowych, ale z pewnością wciąż jest jeszcze spore grono użytkowników, które używa WinRAR-a w swojej codziennej pracy na komputerze – chociażby do zabezpieczenia danych hasłem i do przesyłania mailem spakowanych w jeden plik wielu plików jako jeden załącznik. Ba, nawet wiele instytucji i firm do tej pory w ten właśnie sposób publikuje pliki na portalach – w rozszerzeniach *.rar czy *.zip. Możliwości te wykorzystują także atakujący.

Warto w tym miejscu dodać, że za pomocą WinRAR-a możemy tworzyć i rozpakowywać archiwa plików w różnych formatach kompresji (RAR, ZIP, CAB, ARJ, LZH, TAR, GZip, UUE, ISO, BZIP2, Z i 7-Zip).

Niestety w kontekście współczesnego WinRAR-a mamy dla Was złą wiadomość, bo właśnie wykryto w nim podatność umożliwiającą atakującym zdalne uruchomienie kodu na komputerze. O tym piszemy poniżej.

Nowa ważna podatność WinRAR-a – CVE-2023-40477

CVE-2023-40477 to luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu, mogąca pozwolić atakującemu na wykonanie dowolnego kodu w dotkniętej instalacji WinRAR. „Występuje specyficzna wada w przetwarzaniu woluminów odzyskiwania. Problem wynika z braku odpowiedniej walidacji danych dostarczonych przez użytkownika, co może skutkować dostępem do pamięci po zakończeniu przydzielonego bufora” – wyjaśnia poradnik bezpieczeństwa Zero Day Initiative.

Lukę można wykorzystać zdalnie i umożliwić atakującym wykonanie kodu w kontekście bieżącego procesu, ale wynik CVSS (7,8) nie określa jej jako krytycznej. Głównym powodem jest to, że wykorzystanie wymaga interakcji użytkownika. Dobrze wiemy jednak, że nakłonienie użytkowników do pobrania i otwarcia zawierającego pułapki pliku RAR dostarczonego pocztą elektroniczną lub w inny sposób nie jest zbyt trudne.

Wcześniejsze luki w WinRAR-ze

Należy pamiętać, że łatwe do wykorzystania luki w zabezpieczeniach WinRAR-a nie pojawiają się często, ale kiedy już się pojawią, atakujący zwracają na to uwagę.

Przykładowo luka w zabezpieczeniach WinRAR-a z 2019 roku (CVE-2018-20250), która umożliwiała atakującym wyodrębnienie złośliwego pliku wykonywalnego do jednego z folderów startowych systemu Windows, została wykorzystana przez osoby atakujące do dostarczania trwałego złośliwego oprogramowania. Chociaż w tym konkretnym przypadku kod exploita POC był publicznie dostępny.

Jak sobie radzić z problemem?

RARLAB wydał aktualizację zabezpieczeń dotyczącą CVE-2023-40477, dlatego użytkownicy WinRAR-a powinni jak najszybciej zaktualizować program do wersji 6.23 – ręcznie, ponieważ oprogramowanie nie ma opcji automatycznej aktualizacji!

Pamiętajmy także o złotej zasadzie, że nie powinniśmy otwierać żadnego otrzymanego pliku (zamówionego lub nie) bez uprzedniego przeskanowania go w poszukiwaniu złośliwego oprogramowania. Najlepiej w ogóle takie pliki otwierać na innym systemie, który nie ma dostępu do sieci. Zaoszczędzimy sobie i działom IT dużo czasu😊