Een beveiligingslek in de populaire archiveringssoftware WinRAR dat eind vorige maand werd gepatcht wordt op allerlei manieren door cybercriminelen gebruikt om computers met malware te infecteren. Anti-virusbedrijf McAfee ontdekte onlangs een illegale kopie van een album van popster Ariana Grande die het op ongepatchte WinRAR-gebruikers heeft voorzien.

Zodra een gebruiker met een kwetsbare WinRAR-versie het bestand Ariana_Grande-thank_u,_next(2019)_[320].rar opent wordt er kwaadaardige code in de Startup-map van Windows geplaatst. Hierbij wordt User Account Control (UAC) omzeild. De gebruiker krijgt dan ook geen waarschuwing te zien. De code in de Startup-up map wordt bij een herstart van het systeem automatisch uitgevoerd en infecteert de computer met een Trojan. Om slachtoffers niets te laten vermoeden bevat het RAR-bestand het echte album van Ariana Grande.

Het probleem in WinRAR werd veroorzaakt door een DLL-library voor het uitpakken van ACE-bestanden. ACE is net als ZIP en RAR een archiefformaat. De library in kwestie was al 14 jaar niet meer bijgewerkt en bevatte verschillende kwetsbaarheden. Aangezien de gebruikte DLL-library al sinds 2005 niet meer wordt ondersteund en het WinRAR-team geen toegang tot de broncode heeft werd besloten om de ondersteuning van ACE uit veiligheidsoverwegingen in WinRAR 5.70 en nieuwer te stoppen.

Sinds het beveiligingslek werd geopenbaard heeft McAfee naar eigen zeggen meer dan 100 unieke exploits ontdekt die van de kwetsbaarheid misbruik maken. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat laat zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is. 71 procent van de WinRAR-installaties was op het moment van het onderzoek niet up-to-date, wat aantoont dat gebruikers de archiveringssoftware zelden updaten en dus kwetsbaar voor aanvallen zijn. Ook andere archiveringssoftware zoals WinZip en 7-Zip wordt zelden bijgewerkt.