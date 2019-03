В конце февраля 2019 года специалисты Check Point сообщили о серьезной уязвимости (CVE-2018-20250) в WinRAR и продемонстрировали ее эксплуатацию. Практически все 500 млн пользователей WinRAR оказались под угрозой, так как найденная проблема существовала в коде архиватора примерно 19 лет.

Уязвимость связана со старой сторонней библиотекой UNACEV2.DLL: оказалось, что можно создать специальный архив ACE, который при распаковке сможет поместить вредоносный файл в произвольную директорию, в обход фактического пути для распаковки (например, добавив малварь в автозагрузку).

Проблему устранили с релизом WinRAR 5.70 Beta 1, еще в январе текущего года. Разработчики приняли решение отказаться от поддержки формата ACE вовсе.

Тем не менее, первые атаки на уязвимость были замечены экспертами уже в феврале. Тогда спамеры начали прикладывать к своим посланиям вредоносные архивы, которые при распаковке заражают машину пострадавшего бэкдором. Злоумышленники использовали самые разные «приманки» для своих жертв, начиная от откровенных фото и технической документации, и заканчивая политическими новостями.

Warning! Upgrades in the #WinRAR vulnerability ( #CVE -2018-20250) exploit, use social engineering to lure victims with embedded image files and encrypt the malicious ACE archive before delivering.

WinRAR exploit (#CVE-2018-20250) sample (united nations .rar) seems targeting the Middle East. Embedded with bait documents relating to the United Nations Human Rights and the #UN in Arabic, it finally downloads and executes #Revenge RAT.https://t.co/WJ4oJ1UxAz pic.twitter.com/fgHYSD4Mk5

— 360 Threat Intelligence Center (@360TIC) March 12, 2019