Khai thác được phát hiện sử dụng lỗi winrar để cài đặt backdoor

Các nhà điều tra từ Check Pont đã chịu trách nhiệm phát hiện ra một lỗi trong WinRAR. Một phán quyết đã có mặt trong gần hai thập kỷ. Nó bắt nguồn từ một DLL cũ từ năm 2006, không có các cơ chế bảo vệ cần thiết. Do thất bại này, có thể có khoảng 500 triệu người dùng gặp rủi ro. Tuần này khai thác đầu tiên đã được phát hiện, được gửi qua email có chứa tệp RAR dưới dạng tệp đính kèm.

Khai thác phát hiện rằng khai thác thất bại WinRAR để cài đặt một cửa hậu

Thất bại cụ thể nằm trong thư viện của bên thứ ba có tên UNACEV2.DLL. Như một biện pháp, một bản beta đã được tung ra trong đó nó được gỡ bỏ. Không hỗ trợ các tệp ACE theo cách này.

Có thể là phần mềm độc hại đầu tiên được gửi qua thư để khai thác lỗ hổng WinRAR. Cửa hậu được tạo bởi MSF và được WinRAR ghi vào thư mục khởi động toàn cầu nếu UAC bị tắt.https: //t.co/bK0ngP2nIy

IOC:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

- Nhóm RedDrip (@ RedDrip7) ngày 25 tháng 2 năm 2019

Sự cố WinRAR

Hôm qua, lần khai thác đầu tiên cố gắng cấy một cửa hậu trong máy tính bị nhiễm đã được phát hiện. Vì vậy, nó có vẻ là người đầu tiên muốn tận dụng lỗi này trong WinRAR. Mặc dù điều này không có nghĩa là không có người khác, nhưng điều đó chưa được khám phá. Khi họ đã kiểm tra tệp RAR đính kèm đã nói ở trên mà chúng ta đã nói trước đây, người ta đã thấy rằng một nỗ lực đã được thực hiện để trích xuất một tệp trong thư mục C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \.

Khi điều này xảy ra, tệp được sao chép sang% Temp% \ và sau đó tệp wbssrv.exe được chạy, như các nhà nghiên cứu đã nói. Sau khi mã độc được chạy, Cobalt Strike Beacon DLL, được sử dụng bởi tội phạm mạng để truy cập máy tính từ xa, được tải xuống.

Người dùng được khuyến nghị cập nhật lên phiên bản WinRAR mới nhất mà công ty đã cung cấp trên web. Để tải về nó, bạn phải nhập liên kết này.

Phông chữ Tin tặc