Nei giorni scorsi abbiamo dato conto di una pericolosa lacuna di sicurezza in WinRAR: Scoperta una pericolosa vulnerabilità in WinRAR: a rischio 500 milioni di utenti. Semplicemente facendo doppio clic su un file compresso (quindi senza aprire alcun file in esso contenuto e senza caricare alcun eseguibile), è possibile che sul proprio sistema vengano estratti software malevoli.
Diverse aziende specializzate nello sviluppo di soluzioni antimalware stanno segnalando la comparsa in rete di decine e decine di codici exploit diversi l’uno dall’altro che sfruttano la vulnerabilità di WinRAR per estrarre file dannosi nelle cartelle di Windows che si occupano dell’esecuzione automatica dei programmi (lo stesso bug, vecchio ormai di 19 anni e scoperto originariamente dagli esperti di Check Point, consente comunque di scrivere in qualunque cartella a livello di file system).
La novità è che gli aggressori stanno diffondendo file compressi malevoli attraverso i principali social network: dal momento che le varie piattaforme non offrono un’anteprima del contenuto dei file compressi, gli utenti vengono indotti a scaricare gli archivi – all’apparenza assolutamente innocui – e ad aprirli (provocando così, inconsapevolmente, l’insediamento sul sistema del codice malevolo).
Per proteggersi dal problema, gli utenti sono invitati a installare WinRAR 5.70 o versioni successivi oppure passare a 7-Zip nella sua ultima versione, la release 19.00.
Sebbene infatti la lacuna di sicurezza abbia a che fare con l’algoritmo di decompressione del vecchio e non più aggiornato formato ACE, per sfruttare il problema e non destare alcun sospetto, gli aggressori possono tranquillamente rinominare gli archivi dannosi in formato RAR o ZIP. Installando le versioni più recenti dei software citati, che non supportano più il formato ACE, ci si metterà automaticamente al riparo da qualunque problema ad oggi conosciuto.
I ricercatori hanno scoperto che in alcuni casi, con il preciso obiettivo di scavalcare qualunque controllo antimalware e non far drizzare le antenne al software per la sicurezza installato sulla macchina, gli aggressori stanno utilizzando un approccio fileless: Rimozione malware: come accorgersi della presenza di minacce fileless.
Il codice malevolo vero e proprio non viene cioè salvato a livello di file system ma viene caricato dinamicamente, sotto forma di frammenti, generalmente prelevati da server remoti.