Et sikkerhedshul i WinRAR, bruges nu aktivt af en lang række hackere til at installere skadelig software, blandt andet programmer til at stjæle kodeord. Det skriver Ars Technica
Ifølge en rapport fra sikkerhedsfirmaet FireEye har man allerede nu kunnet dokumentere flere forskellige anvendelsestyper af et WinRAR-sikkerhedshul. Angrebet tillader en angriber at eksekvere kode via .rar filer. Sikkerhedshullet har egentligt eksisteret i 19 år, men begyndte at se anvendelse, da svagheden blev offentliggjort februar i år.
Et angreb-scenarie har involveret en fil, som tilsyneladende er et PDF-brev, men når det hentes, planter RAR filen et Visual Basic script i maskinens startup mappe. Scripted sætter maskinen i gang med at installere en trojan kaldet Netwire.
Et andet angreb, rettet mod den israelske militærindustri bruger filer som udgiver sig for at være relateret til en israelsk helpdesk service. Et tredje angreb er tilsyneladende målrettet en enkelt person. En fil, som skal ligne et PDF-brev fra tidligere præsident Viktor Yanukovych er her designet til at installere en pakke kaldet Empire via startup-mappen.
Sikkerhedsfirmaet Symantec har desuden udgivet en rapport, som viser at hackere har anvendt en WinRAR-sikkerhedsbrist mod en kemiindustri i Saudi Arabien. Dette blev gennemført som et spearfishing-angreb, hvor mails målrettet et par medarbejdere indeholdt en inficeret fil kaldet JobDetails.rar.
Sikkerhedshul gemt i fortidslevn
Sikkerhedshullet relaterer sig til filen unacev2.dll som er et stykke standardkode og kan anvendes til kode-eksekvering. Checkpoint Security fortæller her nærmere om problemet. I den nyeste version af WinRAR er sikkerhedshullet da også lukket.