Una falla in WinRAR ha messo a rischio milioni di utenti per almeno 19 anni. A pochi giorni dalla sua scoperta, il difetto che permette l'esecuzione di codice da remoto è stato prontamente sfruttato per portare attacchi di difficile rilevazione.

La notizia dell'esistenza di questo bug, rivelata lo scorso mese da Check Point Research, ha attirato immediatamente l'attenzione degli hacker. Gli aggressori si sono subito prodigati per sfruttarla attivamente, confezionando archivi malformati che, una volta aperti dalla vittima con una versione di WinRAR interessata dal difetto, sono in grado di scatenare l'esecuzione di codice a scelta dell'attaccante. Questo, come noto, consente di installare malware e prendere il controllo del sistema da remoto

Attenzione: bug WinRAR attivamente sfruttato installare malware

Il ricercatore di McAfee Craig Schmugar ha riferito che la società di sicurezza ha identificato "100 exploit" nella prima settimana da quando è stata divulgata la vulnerabilità. Per ora risulta che gran parte degli obiettivi degli hacker sia localizzata negli Stati Uniti.

Schmugar ha preso come esempio una copia bootleg dell'album di successo di Ariana Grande Thank U, Next con un file denominato Ariana_Grande-thank_u,_next(2019)_[320].rar, attualmente in circolazione sui servizi di download di BitTorrent. Quando una versione fallata di WinRAR è utilizzata per estrarre il contenuto di questo archivio, nella cartella Esecuzione automatica viene estratto il malware, che viene dunque eseguito automaticamente al successivo riavvio. Controllo account utente (UAC) è bypassato, quindi non viene visualizzato alcun avviso all'utente.

Gli screenshot con cui il tecnico McAfee ha illustrato il sofisticato metodo di attacco mostrano che il file dannoso estrae file MP3 benigni nella cartella di download della vittima. Nel contempo, però, il file RAR estrae anche un file eseguibile nella cartella di avvio. Una volta riavviato il computer, si installa in automatico un trojan che, secondo il servizio VirusTotal di Google, viene rilevato solo da nove antivirus.

» Leggi anche: Analizzare i file sospetti Online con numerosi antivirus

Schmugar non ha precisato se tutti e 100 gli exploit che McAfee ha identificato installino il medesimo malware.

I ricercatori dell'azienda di sicurezza informatica suggeriscono di essere sempre sospettosi quando ci si appresta a scaricare un file. In particolare, si consiglia agli utenti di WinRAR di utilizzare solo la versione 5.70 e successive. Qualsiasi versione precedente, infatti, è vulnerabile a questi attacchi.

Un'altra possibile soluzione è passare ad un gestore d'archivi compressi diverso da WinRAR. Abbiamo presentato i migliori in questo articolo:

» Leggi: I programmi gratuiti per la compressione dei dati