Ozbiljne WinRAR ranjivosti – CVE-2023-40477 i CVE-2023-38831
Otkriveni su sigurnosni propusti u softveru WinRAR, popularnom uslužnom programu za kompresiju datoteka i arhiviranje na Windows operativnim sistemima. Ovaj softver pogađaju ranjivosti visokog rizika označena kao CVE-2023-40477 (CVSS ocjena: 7.8) i CVE-2023-38831.
Ranjivost CVE-2023-40477
Otkrivena ranjivost postoji zbog nepravilne provjere unosa korisnika, koja može rezultirati pristupom memoriji koja prolazi van kraja dodijeljene međumemorije (eng. buffer). Napadač može da iskoristi ovu ranjivost kreiranjem posebno napravljene datoteke koja bi mogla da iskoristi trenutni proces za izvršavanje proizvoljnih kôdova na sistemu.
“Ova ranjivost omogućava udaljenim napadačima da izvrše proizvoljan kôd na pogođenim instalacijama RARLAB WinRAR. Potrebna je interakcija korisnika da bi se iskoristila ova ranjivost u smislu da cilj mora da posjeti zlonamjernu stranicu ili otvori zlonamjernu datoteku.
Specifična greška postoji u procesu obrade volumena za oporavak. Problem je rezultat nedostatka odgovarajuće validacije podataka koje je dostavio korisnik, što može dovesti do pristupa memoriji nakon kraja dodijeljene međumemorije. Napadač može iskoristiti ovu ranjivost da izvrši kôd u kontekstu trenutnog procesa.”
– goodbyeselene, Zero Day Initiative –
Ranjivost CVE-2023-38831
WinRAR ranjivost označena kao CVE-2023-38831 je ranjivost nultog dana koja se aktivno iskorištava za instalaciju zlonamjernog softvera prilikom klikanja na bezopasne datoteke u arhivi, omogućavajući zlonamjernim napadačima da dobiju pristup nalozima za trgovanje kriptovalutama. Ranjivost se aktivno iskorištava od aprila 2023. godine, a korištena je i za distribuciju različitih vrsta zlonamjernog softvera kao što su DarkMe, GuLoader i Remcos RAT.
Ova ranjivost je omogućila napadačima da kreiraju zlonamjerne RAR i ZIP arhive koje su prikazivale naizgled bezopasne datoteke, kao što su slike (.jpg), tekstualne datoteke (.txt) ili PDF (.pdf) dokumenti. Međutim, kada korisnik otvori dokument, ova ranjivost će prouzrokovati izvršavanje skripte koja instalira zlonamjerni softver na uređaj. Istovremeno, ove skripte će učitati i dokument koji je bio mamac kako se ne bi izazvala sumnja kod korisnika.
Ranjivost se pokreće kreiranjem specijalno kreiranih arhiva sa malo izmijenjenom strukturom u poređenju sa sigurnim datotekama, što uzrokuje da WinRAR ShellExecute funkcija dobije netačan parametar kada pokuša da otvori datoteku mamac. Ovo dovodi do toga da program preskače bezopasnu datoteku i umjesto toga locira i izvršava skriptu, tako da dok korisnik pretpostavlja da je otvorio sigurnu datoteku, program pokreće drugu. Skripta se izvršava da bi pokrenula samoraspakujuću (eng. self-extracting – SFX) CAB arhivu koja inficira računar različitim vrstama zlonamjernog softvera.
WinRAR ažuriranje
Kako bi zaštitila korisnike, kompanija RARLAB je objavila novu verziju 6.23. Korisnici se pozivaju da ažuriraju svoj softver što je pre moguće kako bi se zaštitili od potencijalnih napada koje iskorištavaju ove ranjivosti.
Pored toga, kompanija Microsoft trenutno testira podrazumijevanu podršku za RAR, 7-Zip i GZ datoteke u operativnom sistemu Windows 11, eliminišući potrebu za dodatnim softverom kao što je WinRAR za osnovne zadatke kompresije i ekstrakcije datoteka. Međutim, korisnici kojima su potrebne napredne funkcije WinRAR softvera i dalje mogu smatrati da je potrebno instalirati ovaj softver.
Zaštita
Korisnici koji upotrebljavaju WinRAR softver bi trebalo da provjere da li koriste verziju 6.23 u kojoj su ispravljene navedene ranjivosti. Također, treba obratiti pažnju na to da u WinRAR softveru ne postoji opcija automatskog ažuriranja, tako da korisnici moraju da preuzmu novu instalaciju sa službene stranice proizvođača, kako bi ažurirali staru verziju na novu.