На этой неделе исследователи Check Point анонсировали 0-day в библиотеке WinRAR, которая не обновлялась с 2005 года, а сама уязвимость существует 19 лет. Это означает, что потенциально уязвимы все версии WinRAR за это время.
Уязвимость позволяет поместить произвольные файлы их архива в заранее выбранное злоумышленником место на диске, в том числе в системные папки Windows, без необходимости повышенния привилегий. Если поместить файлы в папку автозапуска Windows, произвольный код будет выполнен при следующем перезапуске системы. Уязвимость реализуется при распаковке архива в формате ACE.
Как проверить вашу фактическую подверженность уязвимости WinRAR?
В рамках сервиса симуляции атак и взломов Cymulate имеется вектор Immediate Threats, который позволяет проверять вашу фактическую подверженность вновь появляющимся активным атакам и уязвимостям.
Проверка на подверженность уязвимости WinRAR выпущена Cymulate в четверг, 21 февраля, и доступна всем пользователям с активной подпиской Immediate Threats.
В выпущенной проверке вредоносный архив ACE при распаковке реализует описанную уязвимость и копирует вредоносные файлы в папку автозагрузки Windows с целью их запуска при следующей перезагрузке. Расширение архива .ACE в этой проверке переименовано в .RAR, чтобы обмануть пользователей, но Winrar все равно рассматривает его как архив .ACE.
Чтобы запустить эту проверку, скопируйте файл .Rar в любую локацию текущего пользователя внутри (например, Desktop). Щелкните правой кнопкой мыши по файлу и выберите «Извлечь здесь».
Как протестировать Cymulate
Вы можете заказать презентацию и тестирование платформы Cymulate в компании Тайгер Оптикс.