‘Lek in WinRAR wordt actief misbruikt om bedrijven aan te vallen’

Cybercriminelen misbruiken actief een kwetsbaarheid in WinRAR. De kwetsbaarheid maakt het mogelijk het bestandstype van bestanden die met ZIP zijn ingepakt te vervalsen. Hierdoor is het bijvoorbeeld mogelijk een executable te vermommen als bijvoorbeeld een afbeelding.

De kwetsbaarheid is ontdekt door de Israelische beveiligingsonderzoeker Danor Cohen. Het beveiligingsbedrijf IntelCrawler waarschuwt nu voor het actieve misbruik van het lek, waarvan vooral bedrijven doelwit zouden zijn. Cohen stelt dat probleem in ieder geval aanwezig is in WinRAR 4.20 en mogelijk ook in andere versies. IntelCrawler waarschuwt zelfs dat alle versies kwetsbaar zijn, inclusief de meeste recente versie 5.10.

Twee velden voor bestandsnamen

ZIP-bestanden bevatten standaard een veld dat wordt gebruikt om de bestandsnaam van een uit te pakken bestand weer te geven. WinRAR voegt hier echter een tweede veld aan toe, die bedoeld is om de namen bestanden in de WinRAR-interface weer te geven. Door dit tweede veld aan te passen is het dus mogelijk in de WinRAR-interface andere bestandsformaten weer te geven dan het bestand in werkelijkheid bevat.

IntelCrawler stelt inmiddels verschillende gevallen te hebben ontdekt waarbij bedrijven slachtoffer zijn geworden van cyberaanvallen waarbij de kwetsbaarheid in WinRAR is gebruikt. De criminelen vermommen een uitvoerbaar bestand met malware in een onschuldig ogende afbeelding. Wie deze afbeelding opent wordt echter geïnfecteerd met de malware.