Ars Technicaは8月24日(米国時間)、「WinRAR 0-day that uses poisoned JPG and TXT files under exploit since April|Ars Technica」において、WinRARには悪意のあるZIPファイルを開くと不正なコードが実行される脆弱性が存在し、トレーダーを標的とした攻撃に悪用されていると報じた。

Ars Technicaによると、この脆弱性はGroup-IBによって8月23日(現地時間)に報告されたもので、WinRARのZIPファイル処理に存在する問題を悪用して不正なコードを実行させるものとのこと。この脆弱性は「CVE-2023-38831」として追跡されており、2023年4月(米国時間)以降、証券取引フォーラムで活発に悪用されているという。

この脆弱性は細工されたZIPファイルをWinRARが処理する際に、誤ったパラメータでファイルを開こうとすることが原因とされる。細工されたZIPファイルには2つの同名のファイルとフォルダが存在する。ファイルは正常なJPGファイルやtxtファイルなどで、これをWinRARから開こうとするとJPGやTXTファイルではなく同名のフォルダからスクリプトが起動されてしまう。起動されるスクリプトは自身を隠しつつ、開こうとしていたjpgファイルやtxtファイルを開き、同時に悪意のあるアーカイブを実行することで最終的にマルウェアに感染させる。

  • 細工されたZIPファイルの例 - 提供: Group-IB

    細工されたZIPファイルの例 - 提供: Group-IB

RARLABは2023年8月2日(現地時間)にこの問題を解決したWinRAR バージョン6.23を公開している。WinRARの使用者は速やかに更新することが望まれている。