O zi de zero în mare severitate în compresorul de fișiere WinRAR utilizat pe scară largă este în exploatare activă de două grupuri criminalistice rusești. Atacurile calculatoare din spate care deschid arhive rău intenționate atașate la mesajele de phishing, unele dintre ele fiind personalizate.
Firma de securitate ESET a spus luni că a detectat mai întâi atacurile pe 18 iulie, când telemetriei sale a observat un fișier pe o cale de director neobișnuită. Până la 24 iulie, ESET a stabilit că comportamentul a fost legat de exploatarea unei vulnerabilitate necunoscută în Winrar, o utilitate pentru comprimarea fișierelor și are o bază instalată de aproximativ 500 de milioane. ESET a notificat dezvoltatorii Winrar în aceeași zi, iar o soluție a fost lansată șase zile mai târziu.
Efort și resurse serioase
Vulnerabilitatea părea să aibă puteri super -Windows. A abuzat fluxuri de date alternativeo caracteristică Windows care permite modalități diferite de a reprezenta aceeași cale de fișier. Exploatul a abuzat de această caracteristică pentru a declanșa un defect de traversare al traseului de cale necunoscut anterior, care l-a determinat pe Winrar să planteze executabile rău intenționate în căi de fișier alese de atacator %temp %și %localappdate %, pe care Windows le face în mod normal în afara limitelor din cauza capacității lor de a executa cod.