Door een fout in WinRAR kunnen aanvallers misbruik maken en code op uw pc uitvoeren. Dat gebeurd wanneer u gecomprimeerde bestanden opent.
Wat u moet weten
- WinRAR heeft een ernstig beveiligingsprobleem dat wordt benut door aanvallers, waaronder door de overheid gesteunde hackers.
- Er zijn al oplossingen voor het probleem beschikbaar. Maar veel systemen kunnen nog steeds kwetsbaar zijn omdat WinRAR handmatig moet worden bijgewerkt.
- Als de kwetsbaarheid wordt benut, kunnen aanvallers willekeurige code uitvoeren. Dat gebeurt wanneer een gebruiker bepaalde bestanden opent, die voor verschillende aanvallen kan worden gebruikt.
WinRAR heeft een ernstig beveiligingsprobleem dat is gebruikt door aanvallers, waaronder door de overheid gesteunde hackgroepen. Het probleem werd ontdekt door de Threat Analysis Group (TAG) van Google. Zij hebben het probleem diepgaand besproken in een blogpost.
Als de kwetsbaarheid wordt benut, kunnen bedreigingsactoren systemen op verschillende manieren aanvallen. Door het probleem kan een aanvaller willekeurige code uitvoeren wanneer iemand een gecomprimeerd bestand opent.
Beveiligingsupdates voor de kwetsbaarheid zijn al beschikbaar, maar er zijn gebruikers en organisaties die hebben deze mogelijk nog niet geïnstalleerd. Dat komt gedeeltelijk door het feit dat WinRAR niet automatisch wordt bijgewerkt. Dat betekent dat iedereen dit stukje software gebruikt, de update handmatig moet opzoeken.
Update en proof of concept
RARLabs bracht in augustus 2023 een bijgewerkte versie van WinRAR uit. Deze bevatte oplossingen voor verschillende beveiliging gerelateerde fouten. Eén van deze fouten, werd CVE-2023-38831 toegewezen. Het is een logische kwetsbaarheid binnen WinRAR, die externe tijdelijke bestandsuitbreiding veroorzaakt bij het verwerken van vervaardigde archieven, gecombineerd met een eigenaardigheid in de implementatie van Windows ShellExecute bij een poging een bestand te openen met een extensie. Door het beveiligingslek kunnen aanvallers willekeurige code uitvoeren wanneer een gebruiker probeert een goedaardig bestand (zoals een gewoon PNG-bestand) in een Ziparchief te bekijken.
De Kwetsbaarheid
Beschouw de volgende archiefstructuur:
Wanneer een gebruiker dubbelklikt op een goedaardige “poc.png_” (onderstrepingsteken wordt gebruikt om een spatie aan te geven) in de gebruikersinterface van WinRAR, zal WinRAR vóór 6.23 in plaats daarvan “poc.png_/poc.png_.cmd” uitvoeren.
Nadat een gebruiker op een bestand dubbelklikt, probeert WinRAR te bepalen welke bestanden tijdelijk moeten worden uitgevouwen door alle archiefvermeldingen te doorlopen. Als er echter een directory wordt gevonden met dezelfde naam als het geselecteerde item, worden vanwege de manier waarop de matching wordt uitgevoerd, zowel het geselecteerde bestand als de bestanden in een overeenkomende directory uitgepakt naar de hoofdmap van een willekeurige tijdelijke directory.
De onderstaande pseudocode toont de extractielogica van WinRAR en of een archiefitem moet worden uitgepakt:
Bij het schrijven van de inhoud van de bestanden voert WinRAR pad normalisatie uit, waarbij toegevoegde spaties worden verwijderd, omdat Windows geen bestanden met volgspaties toestaat.
Cybercriminaliteitsgroepen begonnen de kwetsbaarheid begin 2023 te misbruiken, toen de bug nog onbekend was bij verdedigers. Er is nu een patch beschikbaar, maar veel gebruikers lijken nog steeds kwetsbaar te zijn,
aldus TAG van Google.
TAG heeft door de overheid gesteunde actoren uit een aantal landen waargenomen die de WinRAR-kwetsbaarheid misbruiken als onderdeel van hun operaties
WinRAR nieuwe versie 6.24 en de oude versie 6.23 hebben oplossingen voor het beveiligingslek. Waarbij WinRAR versie 6.24 de voorkeur heeft. U kunt deze updates vinden op de RARLAB-website.
Wat is WinRAR?
WinRAR is een stukje software dat wordt gebruikt om mappen te archiveren, coderen en comprimeren tot één enkel bestand. Het .rar-bestandsformaat is een veelgebruikt alternatief voor het .zip-formaat, dankzij de betere coderings- en compressie-algoritmen die door .rar worden gebruikt.
Hoewel WinRAR een handig stukje software is dat door meer dan een half miljard mensen wordt gebruikt, is het misschien wel bekend als mikpunt van grappen. Het is bekend dat WinRAR een “proefperiode” heeft die gemakkelijk te omzeilen is, waardoor gebruikers voor altijd gratis toegang hebben tot WinRAR. Grappen over het kopen van WinRAR zijn gebruikelijk in technische kringen.
Native .Rar ondersteuning is sindsdien naar Windows uitgerold via Windows 11 versie 23H2. Ook al ondersteunt .Rar standaard het besturingssysteem, geven sommige gebruikers er mogelijk nog steeds de voorkeur aan om WinRAR te gebruiken.
