Zaznani izkoriščanje, ki za neuspešno namestitev backdoor uporablja neuspeh winrarja

Preiskovalci iz Check Ponta so bili zadolženi za odkrivanje hrošča v WinRAR-u. Sodba, ki je prisotna že skoraj dve desetletji. Izvira iz starega DLL iz leta 2006, ki ni imel potrebnih zaščitnih mehanizmov. Zaradi te napake bi lahko bilo ogroženih približno 500 milijonov uporabnikov. Ta teden je bilo zaznano prvo izkoriščanje, ki je bilo poslano po e-pošti, ki je kot prilogo vsebovala datoteko RAR.

Zaznani izkoriščanje, ki izkorišča neuspeh WinRAR-a za namestitev backdoor-a

Specifična napaka je v knjižnici drugih proizvajalcev UNACEV2.DLL. Kot ukrep je bil sprožen beta, v katerem se odstrani. Če na ta način ni mogoče podpreti datotek ACE.

Morebiti prva zlonamerna programska oprema, ki je bila dostavljena po pošti za izkoriščanje ranljivosti WinRAR. Zaledje ustvari MSF in WinRAR v globalno zagonsko mapo zapiše, če je UAC izklopljen.https: //t.co/bK0ngP2nIy

MOK:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108:243 pic.twitter.com/WpJVDaGq3D

- RedDrip Team (@ RedDrip7) 25. februarja 2019

Zlom WinRAR

Včeraj je bil zaznan prvi podvig, ki poskuša vsaditi zaklon v okuženi računalnik. Tako se zdi, da je prvi, ki želi izkoristiti to napako v WinRAR-u. Čeprav to ne pomeni, da ni drugih, ki še niso bili odkriti. Ko so pregledali prej omenjeno priloženo datoteko RAR, o kateri smo že govorili, je bilo ugotovljeno, da je bil poskus izvleči datoteko v mapi C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \.

Ko se to zgodi, se datoteka kopira v% Temp% \ in nato se zažene datoteka wbssrv.exe, kot so povedali raziskovalci. Ko se zlonamerna koda zažene, se prenese prenos Cobalt Strike Beacon DLL, ki ga kibernetski kriminalci uporabljajo za oddaljen dostop do računalnikov.

Uporabnikom priporočamo, da posodobijo na najnovejšo različico programa WinRAR, ki ga je podjetje že objavilo na spletu. Če ga želite prenesti, morate vnesti to povezavo.

Pisava Hacker News