В конце февраля 2019 года специалисты Check Point сообщили о серьезной уязвимости (CVE-2018-20250) в WinRAR и продемонстрировали ее эксплуатацию. Практически все 500 млн пользователей WinRAR оказались под угрозой, так как найденная проблема существовала в коде архиватора примерно 19 лет.
Уязвимость связана со старой сторонней библиотекой UNACEV2.DLL: оказалось, что можно создать специальный архив ACE, который при распаковке сможет поместить вредоносный файл в произвольную директорию, в обход фактического пути для распаковки (например, добавив малварь в автозагрузку).
Проблему устранили с релизом WinRAR 5.70 Beta 1, еще в январе текущего года. Разработчики приняли решение отказаться от поддержки формата ACE вовсе.
Тем не менее, первые атаки на уязвимость были замечены экспертами уже в феврале. Тогда спамеры начали прикладывать к своим посланиям вредоносные архивы, которые при распаковке заражают машину пострадавшего бэкдором. Злоумышленники использовали самые разные «приманки» для своих жертв, начиная от откровенных фото и технической документации, и заканчивая политическими новостями.
Warning! Upgrades in the #WinRAR vulnerability (#CVE-2018-20250) exploit, use social engineering to lure victims with embedded image files and encrypt the malicious ACE archive before delivering.
— 360 Threat Intelligence Center (@360TIC) February 27, 2019
Analysis report: https://t.co/LEcRPqP0cT
Chinese version: https://t.co/wbDCdZl1YV pic.twitter.com/8cjieD1xVJ
WinRAR exploit (#CVE-2018-20250) sample (united nations .rar) seems targeting the Middle East. Embedded with bait documents relating to the United Nations Human Rights and the #UN in Arabic, it finally downloads and executes #Revenge RAT.https://t.co/WJ4oJ1UxAz pic.twitter.com/fgHYSD4Mk5
— 360 Threat Intelligence Center (@360TIC) March 12, 2019
Теперь аналитики McAfee опубликовали отчет, согласно которому в настоящее время атаки по-прежнему продолжаются, и уязвимость пытается эксплуатировать множество хакерских групп. К примеру, одна из групп маскирует свою малварь под альбом Thank U, Next Арианы Гранде.
Исследователи насчитали уже более 100 уникальных эксплоитов для данной проблемы, и отмечают, что это совсем неудивительно. WinRAR с его огромной пользовательской базой – прекрасная цель для злоумышленников, и после обхода UAC пользователь не видит никаких предупреждающих сообщений. Малварь просто начинает работать после следующего старта системы.