Geçen ay ortaya çıkan WinRAR gibi eski ve popüler bir yardımcı programın, son 19 yıldır bilgisayar korsanları ve kötü amaçlı yazılım dağıtıcıları tarafından kolaylıkla kullanılabilecek bir hataya karşı savunmasız olduğu ortaya çıktı. Neyse ki yazılım son 5.70 sürümünde düzeltildi. Ancak birçok kullanıcı programı uzun süredir güncellemedi ve bunu nadiren yapıyor; bu nedenle artık yeni bir kötü amaçlı yazılım dalgası aktif olarak bu sorundan yararlanıyor.
Güvenlik açığını keşfeden Check Point güvenlik araştırmacıları, arşivleyicideki kusurun RAR uzantılı kötü amaçlı arşivler dağıtılarak istismar edildiğini, böylece açıldığında kötü amaçlı kodu otomatik olarak çıkarabildiğini açıkladı. Bu programlar PC'nin başlangıç klasörüne yüklenir, ardından bilgisayar açıldığında herhangi bir zamanda çalışırlar ve tüm bunlar kullanıcının bilgisi olmadan gerçekleşir.
Hata keşfedildikten sonra, hacker grupları bunu gerçekten kendi çıkarları doğrultusunda kullanmaya başladı ve çeşitli ülkeler, istihbarat toplamaya çalışan siber casusluk kampanyalarının hedefi haline geldi. Yazılım güvenliği şirketi McAfee, WinRAR hatasını kullanan 100'den fazla benzersiz istismarın halihazırda keşfedildiğini ve bunların çoğunun ABD'yi hedef aldığını belirtti.
Kötü amaçlı yazılım dağıtıcıları, çeşitli medya dosyalarını yasa dışı olarak indirmeyi tercih edenler arasında WinRAR'ın popülerliğinin çok iyi farkındadır. McAfee, en popüler istismarlardan birinin, internette Ariana Grande'nin son albümü Thank U, Next'in korsan kopyalarını arayanları hedef aldığını belirtiyor.
WinRAR istismarı (#CVE-2018-20250) örneği (birleşmiş milletler .rar) Orta Doğu'yu hedef alıyor gibi görünüyor. Birleşmiş Milletler İnsan Hakları ve #BM ile ilgili Arapça yem belgelerinin gömülü olduğu program, sonunda #Revenge RAT'ı indirip çalıştırıyor.https://t.co/WJ4oJ1UxAz pic.twitter.com/fgHYSD4Mk5
— 360 Tehdit İstihbarat Merkezi (@360TIC) 12 Mart 2019
Elbette WinRAR yardımcı programı bugün yıllar önce olduğu kadar popüler değil, ancak kullanıcı sayısı neredeyse 20 yılda 500 milyon kişiye ulaştığından, kaç sistemin bu saldırıya karşı savunmasız kaldığını söylemek imkansız. Ek olarak, 5.70 sürümü Ocak ayının sonlarında piyasaya sürülmesine rağmen, resmi web sitesinden manuel olarak indirilip yüklenmesi gerekiyor, bu da çoğu kullanıcının kritik güncellemeden habersiz kalmasına neden oluyor.
Kaynak: 3dnews.ru
