Hackers buiten 14 jaar oude Winrar-kwetsbaarheid uit

Een vorige maand ontdekt zero day-lek in Winrar wordt intussen uitgebuit door hackers. Die kunnen zo ongemerkt malware installeren op systemen met een oude versie van de software.

Alle versies van Winrar voor editie 5.70 bevatten een achterpoortje dat hackers toelaat om de ingebouwde beveiliging van Windows te omzeilen, en stiekem malware te injecteren voor een automatische installatie bij de eerstvolgende opstart van een getroffen systeem. Hackers misbruiken daarvoor een mek dat pas vorige maand door Check Point publiek werd gemaakt, maar al veertien jaar lang ingebakken zit in alle versies van de Winrar-software.

Veel gebruikers

Winrar is een populaire tool voor het uitpakken van gecomprimeerde mappen en bestanden. Ongeveer een half miljard mensen gebruiken de software. De code van de software is al sinds jaar en dag kwetsbaar, maar het lek werd pas eind feburuari ontdekt. Winrar lanceerde meteen een nieuwe versie van zijn software waarin het euvel verholpen is, maar die moeten gebruikers wel installeren. Winrar updatet niet automatisch, waardoor heel veel mensen nog steeds op een onveilige versie van de software vertrouwen.

Het lek laat hackers toe om een gecomprimeerd zip-bestand te voorzien van onzichtbare malware. Een gebruiker die het bestand uitpakt, zal geen vreemde dingen merken. Verstopt in het archief zit echter een verder onzichtbaar bestand, dat malware kan zijn. Dat bestand kan Winrar in de opstartmap van Windows stoppen, zonder dat User Account Control daar weet van heeft. De volgende keer dat het systeem wordt opgestart, wordt de malware zo automatisch geïnstalleerd.

Actief misbruik

Sinds de kwetsbaarheid bekend werd gemaakt, telde beveiligingsbedrijf McAfee al zo’n honderd unieke bedreigingen die van het probleem gebruik maken. Het illegale downloadcircuit is daarbij een geliefkoosde vector. Zo circuleert er een illegale versie van de nieuwste cd van Ariane Grande. Wie die download kan de nummers uitpakken en beluisteren, maar infecteert zo op de achtergrond wel z’n eigen systeem. Het trojaans paard dat zo geïnstalleerd wordt, werd volgens McAfee niet door alle antivirusprogramma’s herkend.

De oplossing is eenvoudig: installeer de nieuwste versie van Winrar, of kies voor een alternatief. Bijkomend is het natuurlijk een goed idee om niet zomaar archieven te openen waar je de herkomst niet van kent.