گروههای مجرمان سایبری و نفوذگران شخصی همچنان از یک آسیبپذیری بحرانی اجرای کد WinRAR که بهتازگی وصله شده است، بهرهبرداری میکنند. به دلیل اینکه نرمافزار WinRAR یک ویژگی بهروزرسانی خودکار ندارد، میلیونها کاربر آن در برابر حملات سایبری آسیبپذیر هستند. این آسیبپذیری بحرانی (CVE-2018-20250) که ماه گذشته توسط گروه WinRAR و با انتشار نسخهی ۵٫۷۰ بتای ۱ WinRAR وصله شد، همهی نسخههای قبلی WinRAR در ۱۰ سال گذشته را تحتتأثیر قرار میدهد.
این آسیبپذیری یک اشکال «پیمایش مسیر» است که در کتابخانهی شخص ثالث قدیمی UNACEV2.DLL برنامهی WinRAR وجود دارد و به مهاجمان اجازه میدهد تا یک فایل قابل اجرای فشردهشده را از آرشیو ACE در یکی از پوشههای استارتاپ ویندوز که در آنجا فایل مخرب بهصورت خودکار در راهاندازی بعدی اجرا خواهد شد، استخراج کند. بنابراین، برای بهرهبرداری موفقیتآمیز از این آسیبپذیری و کنترل کامل روی رایانههای هدف، کل کاری که یک مهاجم باید انجام دهد این است که فقط کاربران را متقاعد کند تا یک فایل آرشیو فشردهشدهی مخرب را بااستفاده از WinRAR باز کنند.
بلافاصله پس از انتشار عمومی جزئیات دقیق و کد بهرهبرداری اثبات مفهومی، مهاجمان شروع به بهرهبرداری از این آسیبپذیری در یک پویش ایمیلی کردند تا در رایانههای کاربرانی که نسخهی آسیبپذیر این نرمافزار را اجرا میکنند، بدافزار نصب کنند. درحالحاضر، پژوهشگران امنیتی مکآفی گزارش دادند که هفتهی گذشته، پس از افشای عمومی این آسیبپذیری، بیش از ۱۰۰ بهرهبرداری منحصربهفرد شناسایی کردند.
