Gebruikers van de populaire archiveringssoftware WinRAR zijn het doelwit van verschillende aanvallen met kwaadaardige RAR-bestanden, waarbij onder andere afbeeldingen van schaars geklede dames worden gebruikt. De aanvallers maken misbruik van een kwetsbaarheid in het programma waardoor ze kwaadaardige code in de Startup-map van Windows kunnen plaatsen. Deze code wordt bij een herstart van het systeem uitgevoerd.
Het probleem in WinRAR werd veroorzaakt door een DLL-library voor het uitpakken van ACE-bestanden. ACE is net als ZIP en RAR een archiefformaat. De library in kwestie was al 14 jaar niet meer bijgewerkt en bevatte verschillende kwetsbaarheden. Aangezien de gebruikte DLL-library al sinds 2005 niet meer wordt ondersteund en het WinRAR-team geen toegang tot de broncode heeft werd besloten om de ondersteuning van ACE uit veiligheidsoverwegingen in WinRAR 5.70 en nieuwer te stoppen.
Ondanks de beschikbaarheid van een beveiligingsupdate maken aanvallers inmiddels gebruik van de kwetsbaarheid. Zo heeft securitybedrijf 360 verschillende aanvallen gezien waarbij gebruikers worden verleid om een kwaadaardig RAR-bestand te openen. Het gaat onder andere om archiefbestanden met afbeeldingen van schaars geklede dames, vacatures en pdf-documenten over wetgeving. De aanvallen zijn onder andere gericht tegen gebruikers in Oekraïne en het Midden-Oosten.
Zodra gebruikers het RAR-bestand uitpakken wordt de kwaadaardige code in de Startup-map geplaatst, die vervolgens aanvullende malware downloadt waarmee aanvallers volledige controle over het systeem krijgen. WinRAR-gebruikers krijgen het advies om te updaten naar versie 5.70. Wanneer dit niet mogelijk is wordt aangeraden om het bestand UNACEV2.DLL van het systeem te verwijderen.
Volgens de ontwikkelaars van WinRAR wordt het programma door meer dan 500 miljoen mensen wereldwijd gebruikt. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat laat zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is.
Deze posting is gelocked. Reageren is niet meer mogelijk.