CVE-2018-20.250 er en kritisk sårbarhed i WinRAR, der er blevet anslået til at have været en del af softwaren til 19 år eller endnu mere. Sårbarheden endda tvunget udviklingsteamet til at droppe støtten til et filformat.
Denne meget samme sårbarhed, som blev afsløret for offentligheden ved Check Point er blevet udnyttet i naturen ved en række ondsindede kampagner, eventuelt ved nation-state hackere samt. Fejlen er blevet udnyttet med det formål at plante malware på målrettede systemer.
Forskningen oprindeligt afsløret, at der er flere svagheder i udvinding af flere populære arkivformater: RAR, LZH og ACE grund hukommelseskorruption. Men, der var også en parsing fejl med ACE-format, som førte til opdagelsen af, at den forældede DLL-fil kunne blive manipuleret af malware, som de ikke har beskyttende mekanisme. En proof-of-concept demonstratrion fremvist at ved at bruge et par enkle parametre hele programmet kan udnyttes.
Kampagner Brug af CVE-2018-20.250 Fejl fortsætter med at stige
Brug udformet arkivfiler hackere kunne udløse fjernkørsel af programkode sessioner blot ved at gøre brugerne åbne dem op - de farlige filer kan være af forskellige formater. Den ondsindede kode kan flyttes til startmapperne hvilket betyder, at det vil blive kørt automatisk, hver gang computeren er tændt. Det er, hvad der skete i den egentlige angreb.
Der har været forskellige spam kampagner baseret på CVE-2018-20.250 fejl, leverer forskellige ondsindede nyttelast. Tilsyneladende, ondsindede arkiver blev også sendt til sydkoreanske regeringsorganer. En anden meget målrettet kampagne udnyttet et phishing trick om FN og menneskerettigheder for at målrette brugere i Mellemøsten.
En nylig rapport af McAfee afslører en anden lokke hvor Ariana Grande bruges til at narre brugere til at åbne skadeligt tilpassede arkiver, der falder malware på deres maskiner. Forskerne er stødt på i det mindste 100 unikke exploits hjælp af WinRAR fejl, og angrebene er meget sandsynligt at fortsætte. Millioner af brugere anvender programmet, og chancerne er mange af dem kører en forældet, unpatched version af det.