Kwetsbaarheid in WinRAR, moet ik me zorgen maken?

Vorige week kwamen wij een artikel tegen waarin het onderzoeksteam van Checkpoint een kwetsbaarheid gevonden had in de veelgebruikte compressie tool WinRAR. Checkpoint heeft hiervan WinRAR op de hoogte gesteld en WinRAR heeft een patch uitgebracht die deze kwetsbaarheid vermeld voor publicatie van het artikel. WinRAR geeft op zijn website aan dat het met meer dan 500 miljoen gebruikers heeft wereldwijd. Ze claimen de meest gebruikte compressie tool te zijn.

Binnen vijf dagen van publicatie stuiten wij op een artikel waarin malware wordt beschreven die precies deze kwetsbaarheid in WinRAR gebruikt. Waarmee een kwaadwillende toegang krijgt tot het systeem van zijn slachtoffer. De malware plaatst tijdens het uitpakken van het bestand een document in de startup folder. De gebruiker merkt hier niets van. Op het moment dat de gebruiker opnieuw inlogt wordt de malware uitgevoerd.

Als we kijken naar de stappen en gevaren van dergelijke malware, kunnen we deze in verschillende fases opsplitsten:
  • De malware wordt verspreid per mail.
  • Tijdens het uitpakken wordt de kwetsbaarheid gebruikt in WinRAR om iets in de startup folder te plaatsen van het slachtoffer.
  • Na de eerstvolgende herstart, wordt de malware actief en krijgt de hacker achter de malware toegang tot het systeem.
Gelukkig kunnen we maatregelen treffen om de kans op een besmetting te voorkomen:
  • User awareness. Laten we vooropstellen dat iedereen zelfs security experts verleid kunnen worden tot het openen van een malafide e-mail. Maar indien bekend met de gevaren rond het openen van e-mails en al helemaal de bijlages van deze e-mails, wordt het slagingspercentage van dergelijke aanvallen beperkt.
  • De bijlages in dit soort e-mails zijn vaak bijzonder klein. Overweeg het in quarantaine plaatsen van e-mails met hele kleine bijlages en bepaalde bestandsformaten zoals zip, rar, exe etc. In 90% van de gevallen gaat het namelijk niet om valide e-mails.
  • User Account Control staat standaard aan binnen Windows. Het uitpakken van een archief zal normaliter niet om additionele bevoegdheden vragen en dient een trigger te zijn voor nader onderzoek.
  • Zorg dat uw besturingssysteem en applicaties over de meest recente updates beschikken. Deze malware was bijvoorbeeld twee dagen na het vrijkomen van de patch gepubliceerd.
  • Op basis van het gedrag van de malware, namelijk het plaatsen van een bestand in de startup folder, zou een antivirus oplossing in moeten grijpen. Wij hebben dit getest met CylanceProtect en deze voorkomt deze besmetting.

Er zijn dus meerdere preventieve maatregelen die dergelijke malware tegen kunnen houden. Indien het klopt dat er op dit moment 500 miljoen gebruikers zijn van WinRAR, Is het zeer waarschijnlijk dat er veel slachtoffers gemaakt gaan worden.

Update – 20 maart 2019

McAfee meldt dat het al meer dan 100 unieke malware varianten heeft gezien die misbruik maken van deze kwetsbaarheid. 360 threat intelligence center meldt dat er inmiddels ransomware gevonden is die deze kwetsbaarheid gebruikt.

Waarschijnlijk ter overvloede maar wij vinden het toch belangrijk om te melden dat de patch voor Winrar die deze kwetsbaarheid oplost  in de meeste gevallen niet automatisch geïnstalleerd wordt, dit vereist dus een handmatige actie.

Auteur:Security Team

Security Team DTX