Il Threat Analysis Group (TAG) di Google identifica una vulnerabilità significativa nel popolare software di compressione file WinRAR, esponendo centinaia di milioni di utenti a possibili attacchi.
Il Threat Analysis Group (TAG) di Google, noto team di ricercatori specializzato in analisi delle minacce, ha messo in luce una falla di sicurezza nel rinomato software WinRAR. Si tratta di un’applicazione utilizzata da oltre 500 milioni di utenti globalmente per la compressione dei file.
La vulnerabilità, registrata come CVE-2023-38831, rappresentava un pericolo significativo. Permetteva infatti agli hacker di eseguire codice maligno arbitrario sui dispositivi degli utenti. Bastava aprire file in apparenza innocui – come un’immagine PNG – compressi in formato ZIP su Windows. Fortunatamente, non sono state trovate prove che suggeriscano un suo sfruttamento su piattaforme macOS o Linux.
Secondo il TAG, questa criticità è una vulnerabilità logica legata all’espansione estrinseca di dati temporanei durante la gestione dei file. Una specifica “stranezza” di Windows ShellExecute, funzione che consente alle applicazioni di aprire ed eseguire file o cartelle, è risultata essere il tallone d’Achille.
Il meccanismo di attacco era piuttosto intricato. Nelle versioni di WinRAR precedenti alla 6.23, facendo doppio clic su un file apparentemente innocuo, veniva eseguita questa funzione sfruttando un’estensione del prompt dei comandi. Questo comportamento anomalo faceva sì che, se veniva individuata una cartella con lo stesso nome del file selezionato, tutto il suo contenuto venisse estratto in una directory temporanea. A causa di un’inconsistenza di ShellExecute, WinRAR eseguiva automaticamente qualsiasi file con uno spazio alla fine del nome, anche senza l’intervento dell’utente.
L’aspetto ancor più allarmante è che, come rivelato dagli esperti, questa vulnerabilità non è rimasta inosservata. A partire da aprile 2023, è stata infatti sfruttata da gruppi di criminali informatici finanziati da entità governative.
Fortunatamente, un aggiornamento correttivo è stato diffuso ad agosto. Tuttavia, TAG ha espresso preoccupazione, notando che molti utenti non hanno ancora aggiornato il loro software. Di conseguenza, rimangono vulnerabili. Come sottolineato da Group-IB, gli attacchi hanno prevalentemente preso di mira gli investitori, diffondendo vari tipi di malware mirati.
È fondamentale che gli utenti prendano seriamente in considerazione questo avviso e aggiornino WinRAR alla versione 6.23 o 6.24. Va notato, tuttavia, che dovranno farlo manualmente attraverso il sito web ufficiale del software, poiché WinRAR non supporta aggiornamenti automatici. La sicurezza digitale è un bene prezioso, e prevenire rimane sempre la migliore cura.
