Феерическое продолжение истории с WinRAR и уязвимостью, которую никто не замечал почти 20 лет. Пару недель назад специалисты Check Point сообщили о серьезной уязвимости в WinRAR и продемонстрировали эксплуатацию этой проблемы. Практически все 500 млн пользователей WinRAR оказались под угрозой, однако ни одного реального случая использования уязвимости не было. До момента публикации специалистов CheckPoint.
В настоящее время уязвимость находится под колоссальной атакой. Спамеры начали прикладывать к своим посланиям вредоносные архивы, которые при распаковке заражают машину пострадавшего бэкдором, в точном соответствии с инструкцией в PoC. Эксперты уже обнаружили более сотни эксплоитов для уязвимости в WinRAR, и их число продолжает расти.
Напомним, речь идет об уязвимости обхода каталога во включенной в состав WinRAR библиотеке UNACEV2.DLL, используемой для распаковки файлов в формате ACE. Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем.
Хотя разработчики уже выпустили исправленную версию WinRAR ( 5.70 beta 1 ), уязвимость все еще представляет ценность для киберпреступников, поскольку многие пользователи так и не обновились до новой версии. Основная проблема, полагают специалисты, кроется в отсутствии функции автоматического обновления архиватора. В этой связи пользователям рекомендуется установить свежую версию WinRAR и не открывать файлы, полученные от неизвестных источников.
Что тут можно сказать? Скорость распространения информации в 2019 году так высока, а инертность и прокрастинация пользователей и корпораций так сильна, что, как показывают последние инциденты, публикация эксплоита для серьезных уязвимостей равносильна прямой передаче его в руки хакеров – настолько быстрее они реагируют, прежде чем те, для кого PoC опубликован, успевают пропатчиться.
Другой яркий пример: всего лишь три дня понадобилось киберпреступникам, чтобы начать использовать свежую уязвимость в системе управления контентом Drupal в реальных атаках на веб-сайты. Большинство владельцев сайтов не успели даже прочитать про уязвимость, не говоря уже про установку патча. И опять, все в точности проходит так, как описали авторы PoC, сотни атак пошли немедленно после его публикации.
Читайте на АКБ также про еще один показательный случай (январский) , когда защищенные WAN VPN маршрутизаторы Cisco RV320 и RV325, весьма популярные у интернет-провайдеров и компаний, стали мишенью для хакерских атак после публикации на GitHub proof-of-concept эксплоита для серьезных уязвимостей в этих моделях маршрутизаторов.
