Otkriveni eksploati koji koriste neuspjeh winrar-a za instaliranje backdoor-a

Istražitelji iz Check Ponta bili su zaduženi za otkrivanje buga u WinRAR-u. Presuda koja je prisutna gotovo dva desetljeća. Potječe iz starog DLL-a iz 2006. godine, koji nije imao potrebne mehanizme zaštite. Zbog ovog neuspjeha moglo bi biti oko 500 milijuna korisnika u riziku. Ovog tjedna otkriven je prvi eksploziv koji je poslan putem e-pošte koja je kao prilog sadržavala RAR datoteku.

Otkriveni Exploit iskorištava neuspjeh WinRAR-a za instaliranje stražnjeg prozora

Specifičan neuspjeh leži u knjižnici trećih proizvođača pod nazivom UNACEV2.DLL. Kao mjera pokrenuta je beta verzija u kojoj se uklanja. Ne podržavanje ACE datoteka na ovaj način.

Vjerojatno prvi zlonamjerni softver isporučen putem pošte kako bi se iskoristila ranjivost WinRAR-a. Stražnji dio generira MSF i zapisuje u globalnu početnu mapu WinRAR ako je UAC isključen.https: //t.co/bK0ngP2nIy

MOO:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108.4543 pic.twitter.com/WpJVDaGq3D

- RedDrip tim (@ RedDrip7) 25. veljače 2019. godine

Pad sustava WinRAR

Jučer je otkriven prvi podvig koji pokušava ugraditi stražnju vrata u zaraženo računalo. Stoga se čini da je prvi koji želi iskoristiti ovu bugu u WinRAR-u. Iako to ne znači da nema drugih, koji još nisu otkriveni. Nakon što su pregledali gore priloženu RAR datoteku, o kojoj smo već govorili, vidjelo se da je pokušao izdvajanje datoteke u mapi C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \.

Kad se to dogodi, datoteka se kopira u% Temp% \ i tada se vodi datoteka wbssrv.exe, kako su rekli istraživači. Nakon pokretanja zlonamjernog koda, DLL Cobalt Strike Beacon, koji cyber-kriminalci koriste za udaljeni pristup računalima, preuzima se.

Korisnicima se preporučuje da ažuriraju na najnoviju verziju programa WinRAR koju je tvrtka već učinila dostupnom na webu. Da biste ga preuzeli morate unijeti ovu vezu.

Hacker News Font