「WinRAR」に政府系ハッカーが悪用する脆弱性 ～Google脅威分析グループが警告

Google Threat Analysis Groupのブログ

　米Googleの「Threat Analysis Group」（TAG：脅威分析グループ）は10月18日（現地時間）、「WinRAR」に存在する既知の脆弱性「CVE-2023-38831」が複数の政府系ハッキンググループによって悪用されていることを明らかにした。この脆弱性に対するパッチはすでに提供されているが、未適用の環境はまだ多いようだ。

　「CVE-2023-38831」は、「WinRAR」でZIP書庫ファイル内の無害なファイル（通常の.jpg画像ファイルなど）へアクセスしようとすると、それと同じ名前のフォルダーの内容が実行されてしまう可能性があるというもの。任意コードの実行につながる恐れがあり、「CVSS v3」の基本値は現在のところ「7.8」（High）と評価されている。

　シンガポールに拠点を置くグローバルセキュリティ企業Group-IBによると、この脆弱性は2023年4月以降、金融トレーダーを標的としたキャンペーンで悪用されていたという。Group-IBがそれをブログで公表した直後には、それが実現可能であることを示した概念実証（PoC）と攻撃コードの生成器（エクスプロイトジェネレーター）が「GitHub」で公開されている。

　最終的にこの問題は8月にリリースされた「WinRAR 6.23」で修正されたが、それまでゼロデイ脆弱性として悪用されていた。TAGは、実際にウクライナのドローン訓練校になりすましたキャンペーンが行われ、訓練カリキュラムが記載されたPDFファイルをおとりに使って、ZIP書庫ファイル内の悪意あるコードを実行しようとする試みがあったことを指摘している。

　「WinRAR 6.23」では、これ以外にもバッファオーバーフローの脆弱性「CVE-2023-40477」が修正された。執筆時現在の最新版は「WinRAR 6.24」で、このバージョンでもNULLポインター参照の問題が修正されている。いずれも悪用の報告はないようだが、「CVE-2023-38831」のような攻撃がないとも限らない。できるだけ早く対処すべきだろう。