Petteri Pyyny
19. lokakuuta, 2023 19:06
Maailman kenties yleisimmin asennettu maksullinen Windows-sovellus, josta kukaan ei ole kuitenkaan koskaan maksanut mitään, on muuttunut tietoturvaongelmaksi. Kyseessähän on tietysti lähes neljännesvuosisadan ikään ehtinyt WinRAR, eli pakattujen .rar -tiedostojen avaamiseen erikoistunut ohjelma (joka toki avaa ja pakkaa lukuisia muitakin formaatteja).
Ohjelmasta löydettiin elokuussa 2023 tietoturva-aukko (CVE-2023-38831), joka on riskitasoltaan korkea (7,8/10). Ongelma koskee WinRARin tapaa avata ZIP-tiedostoja ja käsitellä niiden sisältä löytyviä tiedostoja. Muokkaamalla ZIP-pakettia siten, että sen sisällä on samalla nimellä oleva tiedosto sekä kansio, saadaan käyttäjä huijattua suorittamaan ohjelmakoodia, jota ei olisi ollut tarkoitus ajaa.
Ongelmaan on jo julkaistu päivitys WinRARin toimesta elokuun alussa (turvallinen versio on v6.23 tai sitä uudempi). Mutta ongelmalliseksi tilanteen tekee se, että WinRAR ei päivitä itse itseään automaattisesti, vaan käyttäjän täytyy päivittää ohjelmisto manuaalisesti. Koska WinRARia tarvitaan nykymaailmassa enää suhteellisen harvoin, on Windows-koneissa jopa vuosia vanhoja WinRARin versioita asennettuna. Ohjelman arvioidaan olevan asennettuna yli 500 miljoonaan Windows-tietokoneeseen.
Nyt Googlen tietoturvatiimi Threat Analysis Group on havainnut, että kyseistä aukkoa on alettu käyttämään kohdennettuihin hyökkäyksiin. TAGin mukaan taustalla ovat Kiinan ja Venäjän valtiollisiin toimijoihin linkittyvät ryhmät.
Googlen TAG-ryhmän mukaan aukkoa on hyödynnetty myös Ukrainaan ja ukrainalaisiin kohdennetuissa verkkohyökkäyksissä. Kiinan valtioon linkitetyn ryhmän taas kerrotaan käyttäneen samaista aukkoa Papua-Uusi-Guinean viranomaisiin. Molemmissa tapauksissa aukon kautta on pyritty saamaan pääsy kohteiden tietojärjestelmiin.
Uusimman WinRARin voi ladata suoraan WinRARin kotisivuilta. Ja mikäli käytössä on Windows 11, voi koko ohjelman käytöstä luopua, sillä Windows 11 tukee nykyisin myös .rar ja .7z -tiedostoja.