Помилка отримала ідентифікатор CVE-2021-35052 (повідомлення постачальника, деталі вразливості) і оцінка 8,2 за шкалою CVSSv3, що відповідає високому рівню загрози. Проблема була виявлена у веб-сповіщенні WinRAR, яке використовується для відображення сповіщень після першого запуску WinRAR або закінчення пробного періоду.
«У вразливих версіях WinRAR веб-запити, надіслані веб-сповіщенням WinRAR, можуть бути перехоплені як частина атаки MITM (man-in-the-middle) або для створення бекдору або атаки RCE — виконання довільних файлів з віддаленого SMB-сервера», — пояснює Ігор Сак-Саковський. «Для успішної атаки потрібно налаштувати фальшиву точку доступу Wi-Fi, зламати маршрутизатор, підробити DNS або просто перебувати в одній мережі з жертвою. Під час запуску файлів із сервера SMB існують обмеження списку заборон на розширення виконуваних файлів. Зокрема, при запуску файлів .bat, .vbs, .exe та .msi буде відображатися сповіщення про шкідливий файл із запропонованими діями. Але враховуючи, що WinRAR не має функції автоматичного оновлення, а вразливі версії є поширеними, зловмисник може обійти обмеження та замаскувати запуск, використовуючи старі експлойти для WinRAR або Microsoft Office».
З технічної точки зору, вразливість викликана використанням веб-сповіщення WinRAR неправильно налаштованого модуля веб-браузера. Такі помилки можна виявити під час тестування на проникнення або за допомогою аналізатора безпеки програми, наприклад PT Application Inspector.
Системи керування вразливими місцями, такі як MaxPatrol VM, можуть автоматизувати виявлення та визначення пріоритетів таких вразливостей. Системи класу SIEM (зокрема, MaxPatrol SIEM) можуть виявляти ознаки проникнення (у разі неможливості встановлення оновлення), а також виявляти підозрілу поведінку на сервері, реєструвати інциденти та зупиняти просування зловмисників у корпоративна мережа.
Джерело: AIThority