WinRAR je populární komerční kompresní program, který přišel na trh již v roce 1995 a je využíván celou řadou uživatelů a institucí. Nyní výzkumný tým Check Point Research objevil díky fuzzeru WinAFL jednu závažnou logickou chybu, díky které se WinRAR stává dosti zranitelným.

Počet ohrožených uživatelů se vyšplhal přes hranici 500 milionů. Zajímavé je, že tato chyba existovala bez povšimnutí jako součást programu již od roku 2000. Vedení WinRARu se rozhodlo ukončit podporu zranitelného formátu ACE.

Aby toho nebylo málo, objevil Check Poing Research i malware, který právě této chyby využíval ve svůj prospěch. Útok pomocí tohoto viru započne v momentě, kdy uživatel spustí rozbalení souboru pomocí WinRARu. Celý soubor vypadá jako rbxm (3D model v online herní platformě Roblox). Problém nastává, že po extrahování není ve složce pouze 3D model, ale i neznámý javascriptový soubor nastavený tak, aby stáhl a spustil škodlivý kód.

Odhalení problému započalo již před několika měsíci, kdy Check Point Reserach vyvinul jakousi fuzzing laboratoř za účelem testování a analýzy prostředí Windows fuzzerem WinAFL. Při testování odhalil fuzzer starou DLL knihovnu využívanou WinRARem, která však nedisponovala naprosto žádným ochranným mechanismem.

Při bližším zkoumání došel tým ke zjištění, že tato chyba umožňuje vzdálené spouštění kódu. Kdyby se povědomí o této chybě dostalo do rukou útočníků, mohlo by se jednat o vážnou hrozbu a ohrožení uživatelů.