По сообщению The Register, около полумиллиарда пользователей подвергаются риску из-за обнародования уязвимости нулевого дня, имеющейся во всех версиях популярного архиватора WinRAR и позволяющей удаленно запускать код. WinRAR остается популярнейшим shareware-архиватором для Windows на протяжении последних двух десятков лет.
Автор опубликованного кода доказательства концепции обнаружил, что он работает на всех версиях WinRAR, что делает его крайне удобным для использования в фишинговых кампаниях. Уязвимость можно эксплуатировать, чтобы выполнять парсинг HTML и запускать JavaScript в контексте WinRAR.
Иранский исследователь Мохаммад Реза Эспархам (Mohammad Reza Espargham) сообщил об уязвимости через Full Disclosure, рассылку по теме информационной безопасности.
«Уязвимость позволяет неавторизованному удаленному злоумышленнику запускать код для компрометации целевой системы, — написал Эспархам на Full Disclosure. — Проблема кроется в функции текста и пиктограммы модуля окна «text to display in SFX». Удаленные злоумышленники могут генерировать [их] собственные сжатые архивы с вредоносным содержимым, чтобы запускать характерный для системы код».
Эспархам дал уязвимости оценку критичности 9 баллов из 10, так как для ее эксплуатации не требуется особых навыков, а жертве достаточно лишь открыть файл. Торрент-файлы для игр и приложений могут быть удобным вектором атаки, учитывая, что атаку можно провести тайно. Уязвимость пока не получила код CVE.
Злоумышленник может внедрить HTML и JavaScript в SFX-архивы, и они будут исполняться при разархивации WinRAR. Эти файлы могут, в свою очередь, запускать другие файлы или эксплуатировать другие уязвимости, например, в движке JavaScript.
Исследователь Питер Арнтц (Pieter Arntz) из MalwareBytes сказал, что код доказательства концепции нужно немного подправить, чтобы он работал как надо.
Команда WinRAR отреагировала на известие об уязвимости выпуском оповещения, которое гласит: «Исполняемые файлы потенциально опасны по своей сути. Запускайте их, только если вы получили их из доверенного источника. Самораспаковывающиеся архивы WinRAR (SFX) не менее и не более опасны, нежели другие exe-файлы». RARLab также утверждает, что «модуль SFX содержит официальную документированную функцию для запуска исполняемого файла, упакованного в архив, и поэтому нет необходимости применять хакерские способы, чтобы достичь того же самого».
В завершение сообщения разработчики архиватора снова напомнили пользователям о том, что запускать исполняемые файлы, архивы это или нет, стоит лишь в том случае, если они получены из доверенного источника.
