Bylo zjištěno zneužití, které při instalaci backdooru používá selhání winrar

Vyšetřovatelé z Check Pont byli zodpovědní za objevení chyby ve WinRARu. Rozhodnutí, které existuje téměř dvě desetiletí. Pochází ze staré DLL z roku 2006, která neměla potřebné ochranné mechanismy. V důsledku tohoto selhání by mohlo být ohroženo přibližně 500 milionů uživatelů. Tento týden bylo zjištěno první zneužití, které bylo odesláno e-mailem, který obsahoval soubor RAR jako přílohu.

Bylo zjištěno zneužití, které využívá selhání WinRAR při instalaci backdoor

Konkrétní chyba spočívá v knihovně třetích stran s názvem UNACEV2.DLL. Jako opatření byla spuštěna beta verze, ve které je odstraněna. Tímto způsobem nepodporuje soubory ACE.

Pravděpodobně první malware dodávaný poštou, který zneužívá zranitelnost WinRAR. Backdoor je generován MSF a zapisován do globální spouštěcí složky WinRAR, pokud je UAC vypnutý.https: //t.co/bK0ngP2nIy

IOC:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

- RedDrip Team (@ RedDrip7) 25. února 2019

Selhání systému WinRAR

Včera bylo detekováno první zneužití, které se snaží implantovat zadní vrátka do infikovaného počítače. Zdá se tedy, že jako první chce tuto chybu využít ve WinRARu. Ačkoli to neznamená, že neexistují žádné další, které dosud nebyly objeveny. Když prozkoumali výše uvedený připojený soubor RAR, o kterém jsme již mluvili, bylo vidět, že byl učiněn pokus extrahovat soubor ve složce C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \.

Když k tomu dojde, je soubor zkopírován do% Temp% \ a poté je spuštěn soubor wbssrv.exe, jak uvedli vědci. Po spuštění škodlivého kódu se stáhne knihovna Cobalt Strike Beacon DLL, kterou kyberzločinci používají k vzdálenému přístupu k počítačům.

Doporučujeme uživatelům aktualizovat na nejnovější verzi WinRAR, kterou společnost již zpřístupnila na webu. Chcete-li jej stáhnout, musíte zadat tento odkaz.

The Hacker News Font