.
Uma vulnerabilidade do WinRAR está sendo amplamente explorada porque o utilitário de arquivamento não permite a atualização automática para uma versão corrigida.
Principais conclusões
- A popularidade do WinRAR está sendo ameaçada pelo suporte nativo do Windows 11 para formatos de compactação, mas os usuários devem atualizar o software devido a uma vulnerabilidade de segurança que está sendo explorada por atores patrocinados pelo Estado.
- A vulnerabilidade permitiu que os agentes da ameaça executassem códigos maliciosos quando os usuários abriam arquivos aparentemente inofensivos em arquivos ZIP.
- A exploração da vulnerabilidade destaca a importância de manter o software atualizado e a necessidade dos fornecedores oferecerem maneiras mais fáceis de atualizar o software.
WinRAR é um dos utilitários de compactação mais usados, embora o Windows 11 possa estar tentando diminuir sua popularidade com suporte nativo para os formatos 7Z, RAR e TAR.GZ. No entanto, aqueles que utilizam o WinRAR podem querer atualizar o software o mais rápido possível, pois uma vulnerabilidade de segurança está sendo explorada por certos atores patrocinados pelo Estado.
Em um postagem no blog Escrito pelo Google, a empresa afirma que seu Grupo de Análise de Ameaças (TAG) identificou várias instâncias de grupos de hackers utilizando uma vulnerabilidade agora corrigida no WinRAR. Aparentemente, o software de arquivamento hospedava um bug de segurança que causava “expansão temporária estranha de arquivos ao processar arquivos criados, combinada com uma peculiaridade na implementação do ShellExecute do Windows ao tentar abrir um arquivo com uma extensão contendo espaços”. Isso significava que um agente de ameaça poderia executar código malicioso se um usuário abrisse um arquivo aparentemente seguro dentro de um arquivo ZIP.
Embora a falha de segurança tenha sido corrigida pelo desenvolvedor WinRAR RARLabs em agosto de 2023, vários grupos de hackers como FROZENBARENTS, FROZENLAKE e ISLANDDREAMS têm aproveitado o problema em software não corrigido para executar campanhas maliciosas em vários países como Ucrânia e Papua Nova Guiné.
A principal razão por trás da exploração generalizada é que o WinRAR não é atualizado automaticamente, o que significa que os clientes que executam uma versão mais antiga do software ficam vulneráveis à exploração. A partir de agora, as versões 6.23 e 6.24 do WinRAR contêm a correção de segurança em questão.
O Google observou que a disseminação dessa exploração não apenas enfatiza a importância de os usuários manterem seus softwares atualizados, mas também a necessidade de os fornecedores oferecerem maneiras mais fáceis de atualizar o software. Se você está curioso para saber como a vulnerabilidade é explorada ou deseja saber sobre os indicadores de comprometimento (IOCs) associados, verifique o site da empresa postagem detalhada no blog.
.
