À la fin de février 2019, les spécialistes de Check Point ont signalé une vulnérabilité grave (CVE-2018-20250) dans WinRAR et en ont démontré le fonctionnement. Presque tous les 500 millions d’utilisateurs de WinRAR étaient exposés au risque, car le problème identifié existait depuis environ 19 ans dans le code d’archivage.
La vulnérabilité est liée à l’ancienne bibliothèque tierce UNACEV2.DLL: il s’est avéré que vous pouvez créer une archive ACE spéciale qui, une fois décompressée, peut placer un fichier malveillant dans un répertoire arbitraire, en contournant le chemin de décompression réel (par exemple, ajouter un programme malveillant dans le chargement automatique).
Le problème a été éliminé avec la sortie de WinRAR 5.70 Beta 1 , en janvier de cette année. Les développeurs ont décidé d’abandonner le format de support ACE.
Néanmoins, les premiers attentats contre la vulnérabilité ont été remarqués par des experts en février. Les spammeurs ont ensuite commencé à attaquer les archives malveillantes de leurs messages, qui, une fois décompressés, infectent la machine de la victime avec une porte dérobée.Malefactors a utilisé les “appâts” les plus différents pour les victimes, en partant de photos franches et de documentation technique, pour finir par des actualités politiques.
Les analystes de McAfee ont publié un rapport indiquant que les attaques se poursuivaient et que cette vulnérabilité tentait d’exploiter de nombreux groupes de pirates. Par exemple, l’un des groupes déguise leur logiciel malveillant sous le nom de l’album Thank U, Next Ariana Grande.
Les chercheurs ont recensé plus de 100 exploits uniques pour résoudre ce problème, et notent que cela n’a rien de surprenant. WinRAR, avec sa vaste base d’utilisateurs, est une excellente cible pour les intrus. Après avoir analysé le contrôle de compte utilisateur, l’utilisateur ne voit aucun message d’avertissement. Les logiciels malveillants commencent tout simplement à fonctionner après le prochain démarrage du système.
