WinRAR Path Traversal: ثغرة خطيرة تهدد ملايين الأجهزة حول العالم

حدث الان: ثغرة من نوع Path Traversal في تطبيق WinRAR تتيح للمهاجمين إدراج ملفات خبيثة في مجلدات حساسة مثل مجلد Startup على ويندوز. هذه الثغرة قد تُستغل بمجرد فتح ملف RAR معدّل، ولذلك من المهم قراءة هذا التحذير وتطبيق خطوات الحماية فورًا. 

ما هي ثغرة Path Traversal في WinRAR؟

ثغرة Path Traversal تسمح للمهاجم بتعديل مسارات الملفات داخل أرشيف RAR بحيث يتم استخراج ملفات إلى مواقع غير مقصودة على النظام. في حالة استهداف مجلدات بدء التشغيل أو مجلدات النظام، يصبح بإمكان المهاجم جعل كود خبيث ينفذ تلقائيًا عند إعادة تشغيل الجهاز.

كيف يعمل الاستغلال؟ (بخطوات بسيطة)

1. يُنشئ المهاجم ملف RAR معدّل مشمولًا بمسارات ملف تخرج عن المجلد المتوقع.
2. يُقنع المهاجم الضحية بتنزيل وفتح الملف عبر WinRAR أو أدوات تعتمد على مكتبة UnRAR.dll.
3. عند فتح الملف، يتم استخراج الملف الخبيث في مجلد مثل %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup.
4. بمجرد إعادة تشغيل النظام، يتم تنفيذ الملف الخبيث تلقائيًا، مما يمنح المهاجم صلاحيات أو نفاذًا بعيدًا.

لماذا هذه الثغرة خطيرة؟

• سهولة الاستغلال: لا تتطلب مهارات تقنية متقدمة.
• انتشار WinRAR: برنامج مستخدم على نطاق واسع، بما في ذلك نسخ تعتمد على UnRAR.dll.
• استغلال نشط: تقارير تفيد بعرض استغلال جاهز للبيع في منتديات، مع سعر عالٍ يصل إلى حوالى 80,000 دولار.
• تأثير واسع: قد يتأثر أي تطبيق يعتمد على مكتبة الاستخراج نفسها، بما في ذلك نسخ محمولة (Portable).

من هم الأكثر عرضة للخطر؟

الأشخاص والأجهزة التالية أكثر عرضة:

• المستخدمون الذين لا يحدثون WinRAR بانتظام.
• من يستخدمون نسخًا مقرصنة أو محمولة من البرنامج.
• من يقومون بتحميل ملفات من مصادر غير موثوقة أو من نتائج بحث قد تكون مُسيطرًا عليها.

خطوات حماية فورية (نفّذها الآن)

1. حدّث WinRAR فورًا من الموقع الرسمي win-rar.com. التحديث السريع قد يغلق الثغرة إن أصدرت الشركة تصحيحًا.
2. إن لم تكن بحاجة لـ WinRAR احذفه واعتمد بدائل مفتوحة المصدر مثل 7-Zip أو PeaZip — وحمّلها من المواقع الرسمية فقط.
3. لا تفتح أرشيفات RAR من مصادر غير موثوقة حتى لو بدت الملفات "مألوفة" أو مرسلة من صديق.
4. افحص مجلد Startup وابحث عن ملفات أو اختصارات جديدة غير معروفة.
5. استخدم مضادّات برمجيات خبيثة محدثة لإجراء فحص شامل للنظام بعد أي شبهة استغلال.

نقطة تقنية مختصرة للمهتمين

السبب في قابلية الاستغلال يعود إلى كيفية تعامل مكتبة UnRAR.dll أو مكوّنات فك الضغط مع المسارات داخل الأرشيف. إذا لم تُنقح تلك المسارات بشكل صحيح (مثلاً عبر إزالة ../ أو استخدام مسارات مطولة)، فالإستخراج قد يترك ملفات في مواقع غير مقصودة. لذلك أي تطبيق يستخدم نفس المكتبة يكون معرضًا ما لم يتم تحديثه.

ماذا عن بدائل WinRAR؟

• 7-Zip: مفتوح المصدر ويتمتع بسجل استجابة سريع لإصلاح الثغرات (حمّله من الموقع الرسمي).
• PeaZip: يدعم العديد من الصيغ ويعتمد على أدوات مفتوحة المصدر.

دروس مهمة للمستخدمين

• البرامج حتى لو كانت "غير متصلة بالإنترنت" قد تكون خطرة إن كانت تُستخدم لفتح ملفات من الإنترنت.
• لا تعتمد فقط على نتائج البحث — أحيانًا تُستغل عمليات SEO لنشر روابط تحمل برامج خبيثة.
• سرعة الاستجابة والتحديث المستمران هما أفضل دفاع.

الثغرة المذكورة تذكّرنا بأن الأمان الرقمي مسؤولية مستمرة. إن كنت تستخدم WinRAR الآن، حدّثه أو استبدله فورًا. هل واجهت ملفًا مريبًا أو ترغب مساعدة بفحص جهازك؟ اكتب لنا في التعليقات أو اشترك لتصلك تحديثات الأمان.

ملخص:

 تم اكتشاف ثغرة شديدة الخطورة في برنامج WinRAR الشهير على نظام Windows، والذي يستخدم لفك ضغط الملفات التي يتم ضغطها بغرض تقليل حجمها..

الثغرة تكمن في إمكانية حقن الملفات المضغوطة بأكواد برمجية خبيثة تعمل تلقائياً بمجرد فك الضغط عبر WinRAR، وبعد إعادة تشغيل الحاسوب تنفَّذ البرمجية الخبيثة. هذا النوع من البرمجيات معروف بأنه يعمل دائماً من خلال مجلد Startup أو أثناء إقلاع الجهاز..

كل ما عليك كمستخدم لهذا البرنامج – ومعظمنا يستخدمه – هو تحديثه من خلال المصدر الرسمي (الرابط في التعليق). يُفضل عدم البحث عن البرنامج عبر جوجل، لأن هناك العديد من المواقع الخبيثة التي تنتحل هويته باستخدام إعلانات جوجل، مما يؤدي إلى ظهور نسخ غير حقيقية في أول نتائج البحث..

وإذا كنت تحتاج إلى بديل، أنصحك باستخدام برنامج 7-Zip من موقعه الرسمي أيضاً. ومن فضلك، لا تبحث عنه في جوجل لنفس السبب، فقد يتم انتحال هويته من قبل مجموعات تهدف لسرقة البيانات. لكن إذا كنت شخصاً لديه خبرة ومعرفة جيدة، فلا بأس بالبحث اليدوي الآمن..