Google waarschuwt voor aanvallen door staatshackers via WinRAR-lek

Het gaat om een bug die al in juli werd ontdekt en toen de naam CVE-2023-38831 meekreeg. Volgens een rapport van Threat Analysis Group (TAG) begonnen aanvallers de bug al begin dit jaar te misbruiken, toen het lek nog grotendeels onbekend was. Inmiddels is er wel een patch voor, maar gebruikers moeten die patch zelf installeren. Dit is in veel gevallen niet gebeurd.

Code uitvoeren

De exploit die nu wordt gebruikt baseert zich op WinRAR en Windows ShellExecuteExW, en het komt erop neer dat aanvallers hun code kunnen laten uitvoeren wanneer gebruikers een verder legitiem gecomprimeerd archief openen. Door WinRAR in de war te brengen, zal het zo alle directories met de naam van het onschuldige bestand openen en uitvoeren. Indien een aanval wordt uitgevoerd inclusief de directory met de malware.

Volgens TAG gebruiken onder meer de Russische staatgroepen Sandworm en APT28 de bug om Oekraïense doelwitten te raken. Ook de aan China gelinkte groep APT40 zet de bug in volgens het rapport, deze keer in Papua Nieuw-Guinea. De bug wordt verholpen in versie 6.23 van WinRAR en later. Het is dus zaak om zo snel mogeljk WinRAR te patchen indien dat nog niet is gedaan.

In samenwerking met Data News