Zistené zneužitie, ktoré využíva zlyhanie winrar na inštaláciu zadného vrátka

Vyšetrovatelia zo spoločnosti Check Pont boli zodpovední za odhalenie chyby vo WinRAR. Rozhodnutie, ktoré existuje už takmer dve desaťročia. Pochádza zo starej knižnice DLL z roku 2006, ktorá nemala potrebné ochranné mechanizmy. V dôsledku tohto zlyhania by mohlo byť ohrozených približne 500 miliónov používateľov. Tento týždeň sa zistilo prvé zneužitie, ktoré bolo odoslané e-mailom, ktorý obsahoval súbor RAR ako prílohu.

Zistené zneužitie, ktoré využíva zlyhanie WinRAR pri inštalácii zadného vrátka

Špecifické zlyhanie spočíva v knižnici tretích strán s názvom UNACEV2.DLL. Ako opatrenie bola zavedená beta verzia, v ktorej je odstránená. Týmto spôsobom nepodporujeme súbory ACE.

Pravdepodobne prvý malware dodávaný poštou, ktorý zneužíva zraniteľnosť WinRAR. Backdoor je generovaný MSF a zapisovaný do globálneho štartovacieho priečinka pomocou WinRAR, ak je UAC vypnutý.https: //t.co/bK0ngP2nIy

MOV:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

- Tím RedDrip (@ RedDrip7) 25. februára 2019

Zlyhanie WinRAR

Včera bola odhalená prvá exploitácia, ktorá sa pokúša implantovať zadné vrátka do infikovaného počítača. Zdá sa, že je to prvý, kto chce využiť túto chybu vo WinRAR. Aj keď to neznamená, že neexistujú iní, ešte neboli objavení. Po preskúmaní vyššie uvedeného priloženého súboru RAR, o ktorom sme už hovorili, sa zistilo, že sa urobil pokus extrahovať súbor v priečinku C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \.

Keď sa to stane, súbor sa skopíruje do% Temp% \ a potom sa spustí súbor wbssrv.exe, ako uviedli vedci. Po spustení škodlivého kódu sa stiahne knižnica Cobalt Strike Beacon DLL, ktorú používajú počítačoví zločinci na vzdialený prístup k počítačom.

Používateľom sa odporúča aktualizovať na najnovšiu verziu WinRAR, ktorú spoločnosť už sprístupnila na webe. Na stiahnutie je potrebné zadať tento odkaz.

Písmo správ hackera