Ozbiljne WinRAR ranjivosti – CVE-2023-40477 i CVE-2023-38831

Otkriveni su sigurnosni propusti u softveru WinRAR, popularnom uslužnom programu za kompresiju datoteka i arhiviranje na Windows operativnim sistemima. Ovaj softver pogađaju ranjivosti visokog rizika označena kao CVE-2023-40477 (CVSS ocjena: 7.8) i CVE-2023-38831.

WinRAR

Ozbiljne WinRAR ranjivosti – CVE-2023-40477 i CVE-2023-38831; Dizajn: Saša Đurić

Ranjivost  CVE-2023-40477

Otkrivena ranjivost postoji zbog nepravilne provjere unosa korisnika, koja može rezultirati pristupom memoriji koja prolazi van kraja dodijeljene međumemorije (eng. buffer). Napadač može da iskoristi ovu ranjivost kreiranjem posebno napravljene datoteke koja bi mogla da iskoristi trenutni proces za izvršavanje proizvoljnih kôdova na sistemu.

 

“Ova ranjivost omogućava udaljenim napadačima da izvrše proizvoljan kôd na pogođenim instalacijama RARLAB WinRAR. Potrebna je interakcija korisnika da bi se iskoristila ova ranjivost u smislu da cilj mora da posjeti zlonamjernu stranicu ili otvori zlonamjernu datoteku.

 Specifična greška postoji u procesu obrade volumena za oporavak. Problem je rezultat nedostatka odgovarajuće validacije podataka koje je dostavio korisnik, što može dovesti do pristupa memoriji nakon kraja dodijeljene međumemorije. Napadač može iskoristiti ovu ranjivost da izvrši kôd u kontekstu trenutnog procesa.”

goodbyeselene, Zero Day Initiative

 

Ranjivost CVE-2023-38831

 WinRAR ranjivost označena kao CVE-2023-38831 je ranjivost nultog dana koja se aktivno iskorištava za instalaciju zlonamjernog softvera prilikom klikanja na bezopasne datoteke u arhivi, omogućavajući zlonamjernim napadačima da dobiju pristup nalozima za trgovanje kriptovalutama. Ranjivost se aktivno iskorištava od aprila 2023. godine, a korištena je i za distribuciju različitih vrsta zlonamjernog softvera kao što su DarkMe, GuLoader i Remcos RAT.

 Ova ranjivost je omogućila napadačima da kreiraju zlonamjerne RAR i ZIP arhive koje su prikazivale naizgled bezopasne datoteke, kao što su slike (.jpg), tekstualne datoteke (.txt) ili PDF (.pdf) dokumenti. Međutim, kada korisnik otvori dokument, ova ranjivost će prouzrokovati izvršavanje skripte koja instalira zlonamjerni softver na uređaj. Istovremeno, ove skripte će učitati i dokument koji je bio mamac kako se ne bi izazvala sumnja kod korisnika.

 Ranjivost se pokreće kreiranjem specijalno kreiranih arhiva sa malo izmijenjenom strukturom u poređenju sa sigurnim datotekama, što uzrokuje da  WinRAR ShellExecute funkcija dobije netačan parametar kada pokuša da otvori datoteku mamac. Ovo dovodi do toga da program preskače bezopasnu datoteku i umjesto toga locira i izvršava skriptu, tako da dok korisnik pretpostavlja da je otvorio sigurnu datoteku, program pokreće drugu. Skripta se izvršava da bi pokrenula samoraspakujuću (eng. self-extracting – SFX) CAB arhivu koja inficira računar različitim vrstama zlonamjernog softvera.

 

WinRAR ažuriranje

Kako bi zaštitila korisnike, kompanija RARLAB je objavila novu verziju 6.23. Korisnici se pozivaju da ažuriraju svoj softver što je pre moguće kako bi se zaštitili od potencijalnih napada koje iskorištavaju ove ranjivosti.

Pored toga, kompanija Microsoft trenutno testira podrazumijevanu podršku za RAR, 7-Zip i GZ  datoteke u operativnom sistemu Windows 11, eliminišući potrebu za dodatnim softverom kao što je WinRAR za osnovne zadatke kompresije i ekstrakcije datoteka. Međutim, korisnici kojima su potrebne napredne funkcije WinRAR softvera i dalje mogu smatrati da je potrebno instalirati ovaj softver.

 

Zaštita

Korisnici koji upotrebljavaju WinRAR softver bi trebalo da provjere da li koriste verziju 6.23 u kojoj su ispravljene navedene ranjivosti. Također, treba obratiti pažnju na to da u WinRAR softveru ne postoji opcija automatskog ažuriranja, tako da korisnici moraju da preuzmu novu instalaciju sa službene stranice proizvođača, kako bi ažurirali staru verziju na novu.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.