Windows için popüler bir dosya sıkıştırma ve arşivleme aracı olan WinRAR’da kritik bir güvenlik açığı keşfedildi.
CVE-2024-36052 olarak izlenen kusur, WinRAR 7.00’den önceki sürümlerini etkiliyor ve saldırganların ANSI kaçış dizilerini kullanarak ekran çıktısını taklit etmesine olanak tanıyor.
Sorun, WinRAR’ın ZIP arşivlerindeki dosya adlarının doğru şekilde doğrulanmaması ve temizlenmemesinden kaynaklanmaktadır. Siddharth Dushantha güvenlik açığını tespit etti.
Adında ANSI kaçış dizileri bulunan bir dosyayı içeren özel hazırlanmış bir ZIP arşivi WinRAR kullanılarak çıkarıldığında, uygulama kaçış dizilerini düzgün şekilde işleyemiyor.
Bunun yerine, bunları kontrol karakterleri olarak yorumlayarak saldırganların görüntülenen dosya adını değiştirmesine ve potansiyel olarak kullanıcıları kötü amaçlı dosyalar çalıştırmaları için kandırmasına olanak tanır.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
ANSI kaçış dizileri, komut satırı arayüzleri ve terminallerdeki metnin biçimlendirmesini ve görünümünü denetlemek için kullanılan özel kodlardır. Çoğu dizi, bir ASCII çıkış karakteri (ESC, \x1B) ve ardından bir parantez karakteri ([)ilebaşlarvemetnegömülür[)andareembeddedintothetext
Saldırganlar, bu dizileri içeren kötü amaçlı arşivler oluşturarak, görüntülenen çıktıyı manipüle edebilir ve kullanıcıları, PDF veya resim gibi zararsız bir dosya açtıklarına inandırarak kandırabilirler.
Bir kullanıcı zararsız görünen dosyayı WinRAR içinden açmaya çalıştığında, dosya uzantılarının hatalı işlenmesi nedeniyle güvenlik açığı tetikleniyor.
Dushantha, beklenen dosyayı başlatmak yerine WinRAR’ın ShellExecute işlevinin yanlış bir parametre aldığını ve toplu iş dosyası (.bat) veya komut komut dosyası (.cmd) gibi gizli bir kötü amaçlı komut dosyasını çalıştırdığını söyledi.
Bu komut dosyası daha sonra kurbanın cihazına kötü amaçlı yazılım yükleyebilir ve aynı zamanda şüphe uyandırmayı önlemek için sahte belgeyi görüntüleyebilir.
Bu güvenlik açığının Windows’taki WinRAR’a özel olduğunu ve Linux ve UNIX platformlarındaki WinRAR’ı etkileyen CVE-2024-33899’dan farklı olduğunu unutmamak önemlidir.
WinRAR’ın Linux ve UNIX sürümleri aynı zamanda ANSI kaçış dizileri yoluyla ekran çıktısı sahtekarlığına ve hizmet reddi saldırılarına karşı da hassastır.
Bu güvenlik açığının oluşturduğu riski azaltmak için kullanıcılara, soruna yönelik bir düzeltme içeren WinRAR sürüm 7.00 veya sonraki bir sürüme güncelleme yapmaları önerilir.
Ayrıca, güvenilmeyen kaynaklardan arşivleri açarken dikkatli olmak ve Windows’ta dosya uzantısı görünürlüğünü etkinleştirmek bu tür saldırıların önlenmesine yardımcı olabilir.
Güvenlik açığı 23 Mayıs 2024’te kamuya duyuruldu ve WinRAR kullanıcılarının sistemlerini kötü niyetli aktörlerin olası istismarından korumak için derhal harekete geçmesi çok önemli.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın