Meerdere staatshackers zouden een kwetsbaarheid in de eeuwenoude WinRAR software misbruiken. Dat schrijft de Threat Analysis Group van Google.
Het gaat om een bug die al in juli werd ontdekt en toen de naam CVE-2023-38831 meekreeg. Volgens een rapport van Threat Analysis Group (TAG) begonnen aanvallers de bug al begin dit jaar te misbruiken, toen ze nog grotendeels onbekend was. Ondertussen is er wel een patch voor, maar gebruikers moeten die patch zelf installeren, waardoor dat vaak niet gebruikt.
De exploit die nu wordt gebruikt baseert zich op WinRAR en Windows ShellExecuteExW, en het komt erop neer dat aanvallers hun code kunnen laten uitvoeren wanneer gebruikers een verder legitiem gecomprimeerd archief openen. Door WinRAR in de war te brengen, zal het zo alle directories met de naam van het onschuldige bestand openen en uitvoeren, inclusief, bij een aanval, de directory met de malware.
Volgens TAG gebruiken onder meer de Russische staatgroepen Sandworm en APT28 de bug om Oekraïense doelwitten te raken. Ook de aan China gelinkte groep APT40 zet de bug in volgens her rapport, deze keer in Papua Nieuw-Guinea. De bug wordt verholpen in versie 6.23 van WinRAR en later. Het is dus zaak om dringend WinRAR te patchen, moest dat nog niet gebeurd zijn.
Fout opgemerkt of meer nieuws? Meld het hier