В конце февраля специалисты описали уязвимость в очень популярной программе WinRAR, используемой для сжатия файлов более чем 500 миллионами человек по всему миру. Не прошло и месяца, как в сети были обнаружены атаки, которые использовали эту уязвимость для установки вредоносных программ.
Уязвимость в WinRAR приобрела известность из-за того, что ее невозможно исправить в принципе. Она существовала 19 лет. Это библиотека, которая поддерживает архивы ACE, чей исходный код для Windows, вероятно, был утерян. Поэтому разработчики WinRAR, решили, что у них нет другого выбора, кроме как удалить этот формат из своей программы, чтобы устранить обнаруженную дыру. Изменения были реализованы в версии 5.70 beta 1, однако миллионы людей, относящихся к числу постоянных пользователей архиватора, не обновляют его регулярно.
Стоит напомнить, что описанная уязвимость позволяет получать доступ к системным папкам и устанавливать вредоносные программы из специально созданного архива. Если вредоносная программа помещена в папку автозапуска программы, она будет запущена с системой без предупреждения.
Виды будущих атак, пока точно не известны
Исследователи из McAfee обнаружили более 100 уникальных эксплойтов в течение недели после обнаружения уязвимостей. Одна из разновидностей вредоносной программы находится в пиратской копии Thank U, Next Arianny Grande в Ariana_Grande-thank_u,_next(2019)_[320].rar.
При распаковке этого архива в уязвимую версию WinRAR в папку с автоматически запускаемыми программами в системе Windows будет сохранено вредоносное ПО. Безопасность контроля доступа пользователя будет пропущена, поэтому пользователю не будет предложено разрешить изменения. Вредоносная программа hi.exe запускается при следующем запуске компьютера и может загрузить троян, который обнаруживает мало антивирусных программ. Для маскировки в архиве есть также MP3 файла с музыкой.
Как защитить себя?
На момент написания статьи большинство антивирусных программ не распознавали эти угрозы, но, вероятно, это только вопрос времени. Большинство атакованных пользователей живут в Соединенных Штатах, но и живущие в других странах, также должны быть начеку. Аналитики еще не раскрыли, действовали ли все обнаруженные ими эксплойты одинаково.
Пользователи WinRAR должны убедиться, что они используют последнюю версию 5.70 beta 1. В случае сомнений также можете перейти на бесплатную программу 7-Zip с аналогичными возможностями. Не помешает также осторожность при загрузке упакованных файлов, независимо от того, какой программой мы намерены его распаковать.
