WinRAR’ın 19 Yıldır Tüm Versiyonlarında Bulunan Kritik Açık

WinRAR yazılımında dünya üzerinde yüz milyonlarca kullanıcıyı etkileyen yeni ve oldukça tehlikeli bir uzaktan kontrol kod açığı bulundu.

Check Point siber güvenlik araştırmacıları, WinRAR’da 19 yıldır bulunan kritik açığı keşfetti. WinRAR uygulaması dünya üzerinde 500 milyondan fazla kullanıcı tarafından kullanılıyor.

Açık, UNACEV2.DLL adlı eski bir üçüncü parti kütüphanesinde bulunuyor ve bu kütüphane ACE dosya uzantısı şeklinde sıkıştırma yapılabilmesi için kullanılıyor.

Buna rağmen WinRAR, dosyaların formatını uzantısından değil içeriğinden belirlediği için, saldırganlar sadece .ace uzantısını .rar a çevirip WinRAR’a dosyayı normal bir rar dosyası gibi gösterebiliyorlar.

Araştırmacıların dediklerine göre, kütüphanede “Mutlak Yol Geçişi” adlı bir bug bulunuyor ve bu bug sayesinde sistemlere istenilen her kod gönderilip oluşturulmuş tehlikeli dosyalar çalıştırılabiliyor.

Bu “Mutlak Yol Geçişi” saldırganın hazırladığı dosyanın kullanıcı tarafından rar’dan çıkartıldığı anda kullanıcının istediği yerden ziyade Windows Başlangıç klasörüne çıkartabilmesini sağlıyor ve bilgisayar her yeniden başlatıldığında virüslü uygulama otomatik olarak başlıyor.

Yukarıdaki videoda da görüldüğü gibi saldırganın cihazın tüm kontrolünü ele geçirmesi için sadece oluşturduğu virüslü dosyasını bir rar dosyasına dönüştürüp bunu kullanıcıya açtırtması yetiyor.

WinRAR, UNACEV2.dll kütüphanesinin kaynak kodunu 2005 yılında kaybettiği için, UNACEV2.dll dosyasını paketlerinden kaldırıp WinRAR 5.70 beta 1 versiyonunu ACE dosya formatını desteklemeyen bir şekilde piyasaya sürmüştü.

Fakat neredeyse tüm kullanıcıların kullandığı WinRAR versiyonu bundan eski bir versiyon olduğu için hemen hemen tüm kullanıcılar bu açıktan etkilenebilir durumda.

Kaynak: https://thehackernews.com/2019/02/winrar-malware-exploit.html