ثغرة في WinRAR تُمكِّن من تنفيذ تعليمات عن بُعد، قم بتحديثها الآن! (CVE-2023-40477)
“قامت RARLAB بإصلاح ثغرة تنفيذ تعليمات عن بُعد عالية الخطورة (CVE-2023-40477) في أداة ضغط الملفات الشهيرة WinRAR.”
حول CVE-2023-40477
تعتبر WinRAR أداة ويندوز شائعة الاستخدام يمكنها إنشاء واستخراج ملفات الأرشيف في مختلف تنسيقات الضغط (RAR، ZIP، CAB، ARJ، LZH، TAR، GZip، UUE، ISO، BZIP2، Z و 7-Zip).
CVE-2023-40477 هو عبارة عن ثغرة في تنفيذ الشفرة عن بُعد يمكن أن تسمح للمهاجمين عن بُعد بتنفيذ شفرة تعسفية على تثبيت WinRAR المتأثر.
“العيب المحدد موجود داخل معالجة مجلدات الاسترداد. ينتج هذا المشكل عن عدم وجود التحقق السليم من البيانات التي يقدمها المستخدم، والتي يمكن أن تؤدي إلى الوصول إلى الذاكرة بمرورها بنهاية مخزنة مُخصصة”، يوضح التنبيه الأمني لمبادرة اليوم الصفري على الرابط هنا.
يمكن استغلال الثغرة عن بُعد وقد تسمح للمهاجمين بتنفيذ الشفرة في سياق العملية الحالية، ولكن نقطة ضعفها الرئيسية تكمن في تصنيفها بتقييم CVSS (7.8) الذي لا يُعد حرجًا. السبب الرئيسي لذلك هو أن استغلال الثغرة يتطلب تفاعل المستخدم – ولكن الحصول على المستخدمين لتنزيل وفتح ملف RAR مصيدة عبر البريد الإلكتروني أو وسائل أخرى ليس بالأمر الصعب.
ماذا يجب فعله؟
نادرًا ما تظهر ثغرات WinRAR التي يمكن استغلالها بسهولة، ولكن عندما تظهر، يلاحظ المهاجمون ذلك.
على سبيل المثال: في عام 2019، تم استغلال ثغرة WinRAR (CVE-2018-20250) التي سمحت للمهاجمين بإستخراج ملف تنفيذي ضار إلى مجلد بدء التشغيل في ويندوز من قبل المهاجمين. على الرغم من ذلك، في حالة تلك الثغرة بالذات، كانت هناك رمز استغلال POC متاحًا علنيًا.
قامت RARLAB بإصدار تحديث أمان لمعالجة CVE-2023-40477 ويجب على مستخدمي WinRAR تحديث البرنامج يدويًا إلى الإصدار 6.23 في أقرب وقت ممكن، نظرًا لعدم توفر خيار التحديث التلقائي للبرنامج.
بشكل عام، لا يجب عليك فتح أي ملف تتلقاه (بدون طلب أو معه) دون فحصه أولاً للكشف عن البرامج الضارة.