Waarschuwing: gat in WinRAR actief misbruikt

Door: redactie-computertotaal | 18 maart 2019 11:04

Ariane Grande wordt als lokaas gebruikt door cybercriminelen
Apps & Software

Gebruik je WinRAR? Dan is dit hét moment om het van je computer te gooien – of om in ieder geval over te stappen op de laatste bèta-versie. In alle versies vóór versie 5.70 zit namelijk een heel groot, gapend gat. En dat hebben hackers ook ontdekt: er zijn al ruim 100 unieke exploits in het wild gespot.

WinRAR is al sinds jaar en dag een van de populairste archiveringsprogramma’s. Omdat het al tientallen jaren bestaat, zijn er wereldwijd honderden miljoenen mensen die het geïnstalleerd hebben. En hoe gaat het met programma’s die je al jaren op de computer hebt staan: het wíl nog weleens aan je aandacht ontsnappen dat je moet updaten.

Uitpakken en wegwezen

Wie een oudere versie van WinRAR heeft, moet dat zeker doen. Want in oude versies zit een kwetsbaarheid, als gevolg van de manier waarom WinRAR ACE-bestanden uitpakt. ACE is een archiefformaat, net zoals het meer bekendere ZIP en RAR. Voor dat uitpakken maakt WinRAR gebruik van UNACEV2.DLL, een dynamic-link library die voor het laatst geüpdatet is in 2005. Deze DLL is niet goed geconstrueerd, waardoor archiefbestanden uitgepakt kunnen worden naar een map die de maker van het archiefbestand kiest, in plaats van naar een map die de gebruiker van een programma aanwijst. In tech-talk heet dat Absolute Path Traversal. In Jip-en-Janneke-taal: jij denkt dat je een RAR uitpakt naar de map Foto’s, maar op de achtergrond wordt er (ook) een bestand in bijvoorbeeld de Windows Opstarten-map geplaatst. Die kwaadaardige code wordt dan uitgevoerd de volgende keer dat je Windows opstart.

A-RAR-iane Grande

Kortom: een serieus probleem dat al 14 jaar bestaat, maar waarvoor pas in februari dit jaar een proof-of-concept verscheen. En toen ging het hard … inmiddels zijn er in het wild al ruim 100 exploits gesignaleerd, van plaatjes van blote dames (gevonden door securitybedrijf 360) tot een RAR met het nieuwste album van Ariana Grande, zoals McAfee ontdekte. Daar zaten inderdaad een 12-tal mp3’tjes in, maar ook een trojan … Daarnaast wordt het gat misbruikt voor specifieke aanvallen tegen overheden. Zo werden er besmette RAR’s gestuurd naar de Zuid-Koreaanse overheid, één dag voor de tweede ontmoeting tussen Donald Tromp en Kim Jong-Un.

Blote dames worden ook gebruikt als lokkertjes om het gat in WinRAR te exploiteren

Wat kun je doen?

WinRAR zelf heeft snel gereageerd en een nieuwe versie uitgebracht, waarin de ondersteuning voor ACE helemaal is komen te vervallen. Daarmee is deze aanvalsvector afgesloten. Gebruik je WinRAR, zorg dan dat je de meest recente versie hebt. Deze bèta, 5.70, kun je downloaden vanaf de officiële site. Op RARlab vind je verschillende versies (32 bit en 64 bit), in verschillende talen, waaronder Nederlands.

Alleen WinRAR?

De Duitse tech-auteur Günter Born wijst erop dat er nog andere programma’s zijn die werken met het gewraakte UNACEV2.DLL. Als voorbeeld noemt hij xnView 2.47. Volgens de site Spywarelib (die niet van elke security suite het groene licht krijgt, vandaar dat we hier geen link plaatsen) komt het gewraakte UNACEV2.DLL (een dynamic-link library) bijvoorbeeld ook voor in Avira AntiVir en Ashampoo AntiVirus, en in een handvol unzippers als BitZipper, FilZip en UltimateZip. Over aanvallen via deze programma’s is, in ieder geval op dit moment, nog niets bekend. Wil je echt het zekere voor het onzekere nemen? Born geeft het advies om in Windows Verkenner een zoekopdracht uit te voeren naar UNACEV2.DLL en het bestand te wissen wanneer het aangetroffen wordt. De software die het bestand gebruikt, stopt daarna wel met werken.

0 Reactie(s) op: Waarschuwing: gat in WinRAR actief misbruikt

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.