От средата на миналия месец се наблюдават атаки към правителствени организации от цял свят, които използват уязвимост в WinRAR версии до 6.23. Уязвимостта (CVE-2023-38831) е в имплементирането на ShellExecute в WinRAR. Изразява се в подправяне на архив по начин, който да съдържа файл с разширение, завършващо с интервали и директория със същото име, а в нея скрипт със същото име. При отваряне на подправен архив, вместо да бъде отворен файла се стартира зловредния скрипт.
Примерна структура на подправен архив, използващ уязвимостта CVE-2023-38831:
Archive.rar
“image.png_” – файлът, който като се изпълни активира атаката (_ индикира интервал(и))
“\image.png_” – директория със същото име като файла
image.png_.cmd” – зловредния скрипт, намиращ се image.png_ директория, който ще бъде изпълнен, при отваряне на image.png_ при уязвими версии на WinRAR.
Уязвимостта е отстранена във версия 6.23 на WinRAR от дата 02.08.2023г. В случай, че използвате тази или по-нова версия сте защитени от тази уязвимост.
CERT-България препоръчва да актуализирате WinRAR дo последна версия.
За повече информация:
https://googleprojectzero.github.io/0days-in-the-wild//0day-RCAs/2023/CVE-2023-38831.html
https://nvd.nist.gov/vuln/detail/CVE-2023-38831
https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/