چرا وصله امنیتی WinRAR کافی نبود؟
چرا وصله امنیتی WinRAR کافی نبود؟
به گزارش بیکینگ و به نقل از Techspot، این آسیبپذیری از نوع Path Traversal است و به مهاجمان امکان میدهد با استفاده از ویژگی جایگاه ذخیره اطلاعات جداگانه (ADS) در سیستم فایل NTFS، بدافزار را درون فایلهای RAR مخفی کنند. ADS که از دید رابط گرافیکی ویندوز پنهان است، سالها بهعنوان مکانیزم محبوب برای مخفیسازی دادهها توسط مجرمان سایبری و بازیگران دولتی استفاده شده است.
روش حمله به این صورت است که مهاجم یک فایل RAR دستکاریشده ایجاد میکند و بدافزار را در ADS آن قرار میدهد. کاربر هنگام باز کردن فایل فریبنده با نسخه آسیبپذیر WinRAR، عملاً بدافزار را بدون اطلاع خود استخراج کرده و در پوشه Startup ویندوز قرار میدهد. این بدافزار سپس در بوت بعدی سیستم بهطور خودکار اجرا میشود.
با وجود انتشار وصله امنیتی، GTIG گزارش داده که همچنان رویدادهای متعددی از سوءاستفاده فعال از این نقص مشاهده شده است. این حملات نهتنها توسط گروههای جنایتکار مالی، بلکه توسط بازیگران وابسته به روسیه و چین نیز انجام میشوند. بهطور خاص، گروههای روسی از این آسیبپذیری برای هدف قرار دادن نهادهای نظامی و دولتی اوکراین استفاده کردهاند، در حالی که گروههای چینی و دیگر مهاجمان جهانی سازمانها را برای سرقت داده و کلاهبرداری هدف گرفتهاند.
علاوه بر این، اکوسیستم زیرزمینی پیرامون این آسیبپذیری شکل گرفته است. فروشندهای با نام مستعار zeroplayer این نقص و سایر اکسپلویتها را در انجمنهای سایبری عرضه کرده است؛ اکسپلویتهایی که نرمافزارهای پرکاربردی مانند آفیس مایکروسافت، VPNها و ابزارهای امنیتی را هدف قرار میدهند.
تحلیلگران گوگل هشدار دادهاند که ارزش و قابلیت اعتماد این آسیبپذیری برای مهاجمان، آن را به یک ابزار ماندگار در حملات سایبری تبدیل کرده است. مشکل اصلی این است که WinRAR فاقد مکانیزم بهروزرسانی خودکار است و کاربران باید بهصورت دستی نسخه جدید را دانلود و نصب کنند. همین موضوع باعث میشود بسیاری از سیستمها حتی پس از انتشار وصله امنیتی همچنان در معرض خطر باقی بمانند.
این وضعیت نشان میدهد که حتی پس از رفع نقص، بیتوجهی کاربران به بهروزرسانی نرمافزار میتواند فرصتهای طلایی برای هکرها و گروههای جاسوسی فراهم کند.
