Egy apró hiba, hatalmas gond
Jelentős, hogy a hiba lehetővé tette, hogy rosszindulatú archívumokat tartalmazó e-mailek megnyitásával automatikusan kártékony programokat telepítsenek a célszámítógépekre – például olyan Windows rendszermappákba, mint a %TEMP% vagy a %LOCALAPPDATA%. Ezekbe a mappákba általában nem kerülhetnek futtatható fájlok, ezért különösen veszélyes volt a mostani támadás.
A hibát úgy használták ki, hogy a Windows elérési útvonalértelmezésének sajátosságait kihasználva, egy eddig ismeretlen „útvonalbejárási” problémát idéztek elő, amellyel tetszőleges helyre juttatták a kártékony fájlokat. A WinRAR fejlesztői gyorsan reagáltak, és hat nappal az első észlelés után már javították a rést – addig azonban már rengeteg gépre felkerült a kártevő.
Kik állnak mögötte?
A RomCom neve már ismerősen cseng a nulladik napi (zero-day) sebezhetőségek kihasználásában, most harmadszor használt ilyen új hibát. Mégsem csak ők: a Bi.ZONE orosz kiberbiztonsági cég szerint a Paper Werewolf is aktívan támadta a sebezhetőséget, ráadásul még egy másik, szintén veszélyes WinRAR hibával is visszaéltek, melyet nemrégiben foltoztak be. A támadók megtévesztő e-maileket küldtek, gyakran hivatalosnak tűnő orosz intézmények nevében, álcázott ZIP- és RAR-fájlokkal, amelyek végül jogosulatlan hozzáférést biztosító kártevőt telepítettek.
Bonyolult támadási láncok
A fertőzések három különböző útvonalon érkeztek: rejtett DLL-fájlokat futtattak, amelyek shellkódokat tartalmaztak; speciális Windows futtatható állományokkal SnipBotot telepítettek, amely még a kutatók elemzését is megpróbálta kijátszani; valamint két további, RomCom által fejlesztett rosszindulatú program is célba ért.
Miért különösen veszélyes mindez?
Fontos tudni, hogy a WinRAR-nak közel 500 millió felhasználója van, és szokatlan módon semmiféle automatikus frissítési mechanizmust nem kínál. Vagyis a régi, sérülékeny verziókat sokan használják tudtukon kívül, így a hibát a támadók könnyen kihasználhatják újra és újra. Ráadásul nemcsak maga a program, hanem változatai és parancssoros kiegészítői (mint az UnRAR.dll) is sebezhetők.
A fentiek tükrében minden WinRAR 7.13 előtti verziótól óvakodni kell; csak a legújabb változat javította az összes ismert sebezhetőséget. A mesterséges intelligencia (AI) alapú fenyegetések korszakában a frissítések elmulasztása beláthatatlan károkat okozhat – és a nulladik napi hibák veszélye még sokáig velünk marad.
