SIKKERHET

Gammel WinRAR-sårbarhet utnyttes i en rekke ulike angrep

Programvarebibliotek ikke oppdatert siden 2005.

Brukere av WinRAR bør oppdatere til den nyeste versjonen, da en sårbarhet i programvaren utnyttes aktivt.
Brukere av WinRAR bør oppdatere til den nyeste versjonen, da en sårbarhet i programvaren utnyttes aktivt. Illustrasjon: Check Point Research
Harald BrombachHarald BrombachNyhetsleder
18. mars 2019 - 10:35

En tilsynelatende nokså ubetydelig sårbarhet i komprimerings- og arkivprogrammet WinRAR, har siden den ble offentlig kjent for en måneds tid siden, blitt brukt i en rekke angrep. 

Det var den 20. februar IT-sikkerhetsselskapet Check Point med en rapport om en 19 år gammel sårbarhet i komprimerings- og arkivprogrammet WinRAR. Sårbarheten ble funnet i et proprietært tredjepartsbibliotek (unacev2.dll ) som til nå har gitt WinRAR støtte for arkiver i ACE-formatet. Dette biblioteket har ikke blitt videreutviklet siden 2005. For å fjerne sårbarheten har win.rar GmbH, som utgir WinRAR, rett og slett valgt å fjerne biblioteket og dermed også ACE-støtten i WinRAR. Dette gjelder fra og med 5.70-versjonen.

Legges i vilkårlige mapper

Sårheten gjør det mulig for angripere å inkludere skadevare i et ACE-arkiv, som så pakkes ut på ønsket sted i filsystemet til offerets Windows-PC. Dette kan for eksempel være i oppstartsmappen til den innloggede brukeren. Da vil skadevaren kjøres neste gang PC-en startes opp på nytt. 

Det er lite som tyder på at ACE-formatet er mye brukt i dag, siden slike filer kun kan opprettes med programmet WinACE, som ikke har blitt utgitt siden 2008. Mange kanskje nøle med å klikke på en fil med et så uvanlig filetternavn som .ace. Men ifølge Check Point funger ACE-arkiver like godt i WinRAR selv om filetternavnet endres til .rar.

Ifølge win.rar GmbH er WinRAR verdens mest brukte komprimeringsverktøy. Selskapet hevder at det har mer enn en halv milliard brukere, noe som er spesielt høyt med tanke på at WinRAR er prøvevare. Brukerne kan teste programmet i 40 dager, men videre bruk krever en lisens som koster flere hundre kroner. Til sammenligning er vel så effektive 7-Zip fri programvare.

Brukes i angrep

Nå viser det seg at sårbarheten blir aktivt utnyttet. Allerede i løpet av den første uken etter at sårbarheten ble kjent, skal det ha blitt funnet over hundre unike tilfeller av angrepskode som utnytter sårbarheten. Det er McAfee som melder om dette. 

Det nevnes ett spesifikt eksempel, hvor skadevare er inkludert i en arkivfil som inneholder en piratkopi av Ariana Grandes «Thank U, Next»-album. Navnet på filen er «Ariana_Grande-thank_u,_next(2019)_[320].rar».

Brukeren skal på ingen måte bli varslet om at skadevaren blir lagt i oppstartsmappen. 

De fleste av angrepene skal så langt ha blitt rettet mot mål i USA.

Leste du denne? Pass på strekkodeleseren. Den er et supert verktøy for hackere (Digi ekstra)

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.