Waarschuwing: gat in WinRAR actief misbruikt 2019-03-25T11:19:03

Miljarden profielen Google+ worden gearchiveerd

Prestaties meeste antivirus-apps ondermaats

Waarschuwing: gat in WinRAR actief misbruikt

Waarschuwing: gat in WinRAR actief misbruikt

Gebruik je WinRAR? Dan is dit hét moment om het van je computer te gooien – of om in ieder geval over te stappen op de laatste bèta-versie. In alle versies vóór versie 5.70 zit namelijk een heel groot, gapend gat. En dat hebben hackers ook ontdekt: er zijn al ruim 100 unieke exploits in het wild gespot.

WinRAR is al sinds jaar en dag een van de populairste archiveringsprogramma’s. Omdat het al tientallen jaren bestaat, zijn er wereldwijd honderden miljoenen mensen die het geïnstalleerd hebben. En hoe gaat het met programma’s die je al jaren op de computer hebt staan: het wíl nog weleens aan je aandacht ontsnappen dat je moet updaten.

Uitpakken en wegwezen

Wie een oudere versie van WinRAR heeft, moet dat zeker doen. Want in oude versies zit een kwetsbaarheid, als gevolg van de manier waarom WinRAR ACE-bestanden uitpakt. ACE is een archiefformaat, net zoals het meer bekendere ZIP en RAR. Voor dat uitpakken maakt WinRAR gebruik van UNACEV2.DLL, een dynamic-link library die voor het laatst geüpdatet is in 2005. Deze DLL is niet goed geconstrueerd, waardoor archiefbestanden uitgepakt kunnen worden naar een map die de maker van het archiefbestand kiest, in plaats van naar een map die de gebruiker van een programma aanwijst. In tech-talk heet dat Absolute Path Traversal. In Jip-en-Janneke-taal: jij denkt dat je een RAR uitpakt naar de map Foto’s, maar op de achtergrond wordt er (ook) een bestand in bijvoorbeeld de Windows Opstarten-map geplaatst. Die kwaadaardige code wordt dan uitgevoerd de volgende keer dat je Windows opstart.

A-RAR-iana Grande

Kortom: een serieus probleem dat al 14 jaar bestaat, maar waarvoor pas in februari dit jaar een proof-of-concept verscheen. En toen ging het hard … inmiddels zijn er in het wild al ruim 100 exploits gesignaleerd, van plaatjes van blote dames tot een RAR met het nieuwste album van Ariana Grande, zoals McAfee ontdekte. Daar zaten inderdaad een 12-tal mp3’tjes in, maar ook een trojan … Daarnaast wordt het gat misbruikt voor specifieke aanvallen tegen overheden. Zo werden er besmette RAR’s gestuurd naar de Zuid-Koreaanse overheid, één dag voor de tweede ontmoeting tussen Donald Tromp en Kim Jong-Un.

Wat kun je doen?

WinRAR zelf heeft snel gereageerd en een nieuwe versie uitgebracht, waarin de ondersteuning voor ACE helemaal is komen te vervallen. Daarmee is deze aanvalsvector afgesloten. Gebruik je WinRAR, zorg dan dat je de meest recente versie hebt. Deze bèta, 5.70, kun je downloaden vanaf de officiële site. Op RARlab vind je verschillende versies (32 bit en 64 bit), in verschillende talen, waaronder Nederlands.

Alleen WinRAR?

De Duitse tech-auteur Günter Born wijst erop dat er nog andere programma’s zijn die werken met het gewraakte UNACEV2.DLL. Als voorbeeld noemt hij xnView 2.47. Volgens de site Spywarelib (die niet van elke security suite het groene licht krijgt, vandaar dat we hier geen link plaatsen) komt het gewraakte UNACEV2.DLL (een dynamic-link library) bijvoorbeeld ook voor in Avira AntiVir en Ashampoo AntiVirus, en in een handvol unzippers als BitZipper, FilZip en UltimateZip. Over aanvallen via deze programma’s is, in ieder geval op dit moment, nog niets bekend. Wil je echt het zekere voor het onzekere nemen? Born geeft het advies om in Windows Verkenner een zoekopdracht uit te voeren naar UNACEV2.DLL en het bestand te wissen wanneer het aangetroffen wordt. De software die het bestand gebruikt, stopt daarna wel met werken.


Off-topic reacties worden verwijderd. Linken naar illegale bronnen is niet toegestaan. Opmerkingen over eventuele spelfouten, andere opmerkingen en vragen betreffende de website kunt u mailen naar de webmaster.

blog comments powered by Disqus


Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord