CVE-2023-38831

RARLAB WinRAR

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-08-24

Официальное описание

RARLAB WinRAR contains an unspecified vulnerability that allows an attacker to execute code when a user attempts to view a benign file within a ZIP archive.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-38831 — это логическая уязвимость в WinRAR (версии до 6.23), возникающая при обработке ZIP-архивов. Проблема заключается в некорректной обработке расширений файлов и папок с одинаковыми именами.

Когда пользователь пытается открыть обычный файл (например, .jpg или .pdf) внутри специально сформированного архива, WinRAR ошибочно запускает исполняемый файл или скрипт (например, .cmd или .exe), если он находится в папке с таким же именем, как и открываемый файл.

Атака происходит незаметно для пользователя: при клике на «безопасный» документ выполняется произвольный код злоумышленника, что приводит к полной компрометации системы.

Как исправить

Основным и наиболее эффективным способом устранения уязвимости является обновление WinRAR до версии 6.23 или выше. В этих версиях была изменена логика обработки путей и расширений внутри архивов.

  1. Определите текущую версию WinRAR (Справка -> О программе).
  2. Если версия ниже 6.23, скачайте актуальный дистрибутив с официального сайта RARLAB.
  3. Установите обновление поверх текущей версии.

Для автоматизированного обновления через Windows Package Manager (winget) используйте команду:

winget upgrade RARLab.WinRAR

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие защитные меры:

  1. Использование альтернативного ПО: Временно перейдите на использование встроенных средств Windows для работы с ZIP или используйте альтернативные архиваторы с открытым исходным кодом (например, 7-Zip), которые не подвержены данной уязвимости.

  2. Настройка политик безопасности (AppLocker/SRP): Запретите запуск исполняемых файлов из временных папок, куда WinRAR распаковывает содержимое перед просмотром.

  3. Проверка расширений: Будьте предельно осторожны с архивами, полученными из недоверенных источников. Обращайте внимание на наличие папок, чьи имена полностью дублируют имена файлов в корне архива.

  4. Обновление сигнатур антивируса: Убедитесь, что ваше решение класса EDR/EPP обновлено. Большинство современных антивирусов детектируют структуру архивов, эксплуатирующих CVE-2023-38831.

Для поиска потенциально уязвимых версий в сети через PowerShell:

Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\* | Where-Object { $_.DisplayName -like "*WinRAR*" } | Select-Object DisplayName, DisplayVersion
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей