انتشار بیش از 100 اکسپلویت برای آسیب‌پذیری 19 ساله اجرای کد از راه دور WinRAR

انتشار بیش از 100 اکسپلویت برای آسیب‌پذیری 19 ساله اجرای کد از راه دور WinRAR

برای آسیب‌پذیری اجرای کد WinRAR طی یک هفته بعد از زمان افشای آن، بیش از یکصد مورد اکسپلویت نوشته شده است و تعداد این اکسپلویت‌ها در حال افزایش است. دلیل اینکه هکرها به این آسیب‌پذیری علاقه‎مندند اینست که نزدیک به 500 میلیون کاربر از این نرم‌افزار فشرده‌سازی فایل استفاده می‌کنند و این آسیب‌پذیری با شناسه CVE-2018-20250 در تمام نسخه‌های این نرم‌افزار در طول 19 سال گذشته وجود دارد و علاوه بر این نتیجه بهره‌برداری از این آسیب‌پذیری، کنترل کامل سیستم قربانی است. پژوهشگر McAfee، به نام Craig Schmugar طی یک حمله اخیر در روز پنج شنبه گزارش داد که هکرها با اغوای کاربران به دانلود یک نسخه کپی از آلبوم Ariana Grande به نام "Thank U, Next"، اقدام به آلوده کردن سیستم‌های کاربران کرده‌اند. طبق مشاهدات انجام گرفته فایل‌های موسیقی این آلبوم در یک فایل آرشیو با نام Ariana_Grande-thank_u,_next(2019)_[320].rar وجود داشت که اگر فایل‌های موسیقی با استفاده از یک نسخه آسیب‌پذیر از WinRAR استخراج می‌شد، یک payload مخرب به پوشه استارت‌آپ ویندوز اضافه می‌شد. به گفته این محقق، بیشتر اهداف در ایالات متحده هستند و شرکت McAfee بعد از افشای این آسیب‌پذیری بیش از 100 مورد اکسپلویت را شناسایی کرده است که تعداد آن‌ها در حال افزایش است. او افزود: اکسپلویت‌ها کنترل دسترسی کاربر یا UAC را دور می‌زنند، بنابراین هیچ هشداری برای کاربر نمایش داده نمی‌شود و دفعه بعد که سیستم دوباره راه‌اندازی شود، بدافزار اجرا می‌شود. انتشار اکسپلویت‌ها، فقط دو روز بعد از افشای این آسیب‌پذیری محققان شرکت امنیتی 360، بهره‌برداری از آسیب‌پذیری WinRAR را در روز 20 فوریه که دو روز پس از افشای عمومی آسیب‌پذیری بود، مشاهده کردند. از این اکسپلویت‌ها برای حملات فیشینگ از طریق تصاویر یا اسناد آرشیو شده استفاده می‌شد. اخیرا محققان چینی متوجه شدند که یک کمپین مخرب با استفاده از اسناد مربوط به حقوق بشر و سازمان ملل متحد برای جلب نظر قربانیان در خاورمیانه فعالیت می‌کند. payload اکسپلویت آن‌ها یک ابزار دسترسی از راه دور یا RAT بود که تابحال توسط حداقل 28 آنتی‌ویروس شناسایی شده است. این آسیب‌پذیری CVE-2018-20250 توسط Nadav Grossman از شرکت امنیتی CheckPoint با استفاده از فازر WinAFL کشف شد. این آسیب‌پذیری یک باگ منطقی در مسیر گذرگاه ACE موجود در کتابخانه unacev2.dll است که برای خواندن فرمت آرشیوهای قدیمی RCE را که به ندرت استفاده می‌شود، به WinRAR اضافه شده است. کد این کتابخانه از سال 2005 هیچ تغییری نکرده است و در همین حال کد منبع آن هم از بین رفته است، پس توسعه‌دهندگان WinRAR نمی‌توانستند بخش آسیب‌پذیر را رفع کنند و به همین دلیل تنها راه‌‎حل آن‌ها حذف پشتیبانی از آرشیوهای ACE در اولین نسخه بتای WinRAR 5.70 بود. با این حال، کاربران می‌توانند با استفاده از یک وصله مخصوصاً طراحی شده برای پشتیبانی از ACE در WinRAR از پشتیبانی از فایل‌های ACE برخوردار باشند. این راه حل از طریق شرکت امنیتیACROS و از طریق پلتفرم OPatch در دسترس است. به کاربران WinRAR توصیه می‌شود که از هر دو این راه‌حل‌ها برای ایمن‌سازی در برابر اکسپلویت‌های فعلی استفاده کنند.