חולשה ב-WinRAR מאפשרת להאקרים הפעלת תוכנות כשפותחים ארכיוני RAR

פגיעות ברמת חומרה גבוהה תוקנה ב-WinRAR, כלי השירות הפופולרי לארכיון קבצים בו משתמשים מיליונים ברחבי העולם, כך דיווח אתר Bleeping Computer.

החולשה, שקיבלה את המזהה CVE-2023-40477, מאפשרת לתוקפים מרוחקים להריץ קוד שרירותי במערכת היעד, לאחר פתיחת קובץ RAR בעל מבנה מיוחד.

הפגיעות התגלתה על ידי החוקר Goodbyeselene מיוזמת Zero Day שדיווחה על החולשה לספק, Rarlab ב-8 ביוני 2023.

החולשה המדוברת קיימת בעיבוד של נפחי שחזור ונובעת מהיעדר אימות נאות של נתונים שסופקו על ידי המשתמש, מה שעלול לגרום לזיכרון מעבר לסוף מאגר שהוקצה. מכיוון שהמטרה צריכה לגרום לקורבן לפתוח ארכיון, דירוג חומרת הפגיעות ירד ל-7.8. עם זאת, מנקודת מבט מעשית, הטעיית משתמשים לביצוע הפעולה הנדרשת לא אמורה להיות מאתגרת יתר על המידה, ובהתחשב בגודל העצום של בסיס המשתמשים של WinRAR – לתוקפים יש הזדמנויות רבות לניצול מוצלח.

"WinRAR היא בהחלט יעד אטרקטיבי עבור פושעי סייבר"

בחברת אבטחת המידע ESET התייחסו לחולשה וציינו כי: "WinRAR הוא בהחלט יעד אטרקטיבי עבור פושעי סייבר. הסיבה לכך היא שהוא נמצא בשימוש על ידי מיליוני משתמשים ברחבי העולם, אך כמעט אף אחד לא משלם עבור הגרסה המלאה ולעולם לא יקבל עדכון אוטומטי של התוכנה. זה בטוח לומר שרוב ההתקנות מיושנות וחלק גדול למדי כנראה לא יראה עדכון.

אבל נקודות אחרות גם מעניינות לתוקפים, כמו גישה ישירה לזיכרון, שכן על מנת לדחוס ולשחרר קבצים, יש לאחסן אותם באופן זמני ב-RAM. היבט מעניין נוסף הוא היכולת לכלול סקריפטים וקישורים לקבצים מחוץ לארכיון. היו התאמות רבות בצורה של עדכונים ותיקונים כדי לצמצם שימוש לרעה פוטנציאלי בכלי (אי-)ארכיון, אבל הם נשארים וקטור התקפה.

מומלץ למשתמשים לבדוק באופן קבוע אם יש עדכונים של כל התוכנות שבהן הם משתמשים, במיוחד זו החינמית. יש גם חלופות ל-WinRAR שמסוגלות לחלץ מגוון ארכיונים ומתעדכנות אוטומטית על ידי המפתחים שלהם. שימוש בתוכנת אבטחה שמסוגלת לסרוק כל מיני ארכיונים לפני חילוצם על ידי המשתמש, זה גם רעיון טוב". 

ממערך הסייבר הלאומי נמסר כי "לאחרונה פורסמה פגיעות בתוכנת הדחיסה הפופולרית WinRAR. פגיעות בתוכנת WinRAR עלולה לאפשר הרצת קוד מרחוק. מומלץ לבחון ולהתקין את הגרסה העדכנית בהקדם האפשרי, שמספרה 6.23".