Statelijke actoren maken misbruik van een kwetsbaarheid in WinRAR die eerder door cybercriminelen bij zeroday-aanvallen werd gebruikt, zo stelt Google in een vandaag gepubliceerde analyse. Er is een beveiligingsupdate voor het beveiligingslek, maar volgens techbedrijf lijkt het erop dat nog veel gebruikers van de archiveringssoftware kwetsbaar zijn. Het beveiligingslek in WinRAR, aangeduid als CVE-2023-38831 en aanwezig in versies voor 6.23, doet zich voor bij het verwerken van zip-bestanden.

Via de kwetsbaarheid kan een aanvaller bestandsextensies in het zip-bestand spoofen, waardoor het voor een slachtoffer lijkt alsof hij een afbeelding of tekstbestand uit het zip-bestand opent, terwijl het in werkelijkheid een malafide script is. Zo raakt het systeem besmet met malware en kan de aanvaller toegang krijgen tot accounts op het systeem. Oorspronkelijk werd de kwetsbaarheid gebruikt voor het aanvallen van aandelenhandelaren, nu maken ook door overheden gesteunde actoren er misbruik van, aldus Google. Het zou dan gaan om groepen die vanuit China en Rusland opereren.

Via de malafide zip-bestanden wordt malware verspreid die onder andere inloggegevens uit de browser en sessie-informatie kan stelen, alsmede als backdoor voor de aanvallers fungeert. "Het wijdverbreide misbruik van het WinRAR-lek laat zien dat exploits voor bekende kwetsbaarheden ondanks de beschikbaarheid van een patch zeer effectief kunnen zijn", merkt Google op. "Zelfs de meest geraffineerde aanvallers zullen alleen het minimale doen wat nodig is om hun doelen te bereiken." Het techbedrijf stelt dat de aanvallen laten zien hoe belangrijk het updaten van software is en dat het eenvoudig voor gebruikers moet zijn om dit te doen.