ニュース
「WinRAR」に政府系ハッカーが悪用する脆弱性 ~Google脅威分析グループが警告
最新版への更新を
2023年10月20日 10:10
米Googleの「Threat Analysis Group」(TAG:脅威分析グループ)は10月18日(現地時間)、「WinRAR」に存在する既知の脆弱性「CVE-2023-38831」が複数の政府系ハッキンググループによって悪用されていることを明らかにした。この脆弱性に対するパッチはすでに提供されているが、未適用の環境はまだ多いようだ。
「CVE-2023-38831」は、「WinRAR」でZIP書庫ファイル内の無害なファイル(通常の.jpg画像ファイルなど)へアクセスしようとすると、それと同じ名前のフォルダーの内容が実行されてしまう可能性があるというもの。任意コードの実行につながる恐れがあり、「CVSS v3」の基本値は現在のところ「7.8」(High)と評価されている。
シンガポールに拠点を置くグローバルセキュリティ企業Group-IBによると、この脆弱性は2023年4月以降、金融トレーダーを標的としたキャンペーンで悪用されていたという。Group-IBがそれをブログで公表した直後には、それが実現可能であることを示した概念実証(PoC)と攻撃コードの生成器(エクスプロイトジェネレーター)が「GitHub」で公開されている。
最終的にこの問題は8月にリリースされた「WinRAR 6.23」で修正されたが、それまでゼロデイ脆弱性として悪用されていた。TAGは、実際にウクライナのドローン訓練校になりすましたキャンペーンが行われ、訓練カリキュラムが記載されたPDFファイルをおとりに使って、ZIP書庫ファイル内の悪意あるコードを実行しようとする試みがあったことを指摘している。
「WinRAR 6.23」では、これ以外にもバッファオーバーフローの脆弱性「CVE-2023-40477」が修正された。執筆時現在の最新版は「WinRAR 6.24」で、このバージョンでもNULLポインター参照の問題が修正されている。いずれも悪用の報告はないようだが、「CVE-2023-38831」のような攻撃がないとも限らない。できるだけ早く対処すべきだろう。