Išnaudoti aptiktą, kuris naudoja „Winrar“ gedimą diegti galinius duris

„Check Pont“ tyrėjai buvo atsakingi už WinRAR klaidos atradimą. Nutarimas, galiojantis beveik du dešimtmečius. Jis kilęs iš senojo 2006 m. DLL, kuris neturėjo reikiamų apsaugos mechanizmų. Dėl šios nesėkmės rizika gali būti maždaug 500 milijonų vartotojų. Šią savaitę buvo aptiktas pirmasis išnaudojimas, kuris buvo išsiųstas el. Paštu, prie kurio pridedamas RAR failas.

Išnaudoti aptiktą, kuris išnaudoja „WinRAR“ nesugebėjimą įdiegti galinio durų

Konkretus gedimas slypi trečiosios šalies bibliotekoje, vadinamoje UNACEV2.DLL. Kaip priemonė, buvo paleista beta versija, kurioje ji pašalinama. Nepalaikant ACE failų tokiu būdu.

Galbūt pirmoji kenkėjiška programa, pristatyta paštu, siekiant išnaudoti „WinRAR“ pažeidžiamumą. Galinį duris sukuria MSF, o WinRAR juos įrašo į visuotinį paleidimo aplanką, jei UAC yra išjungtas.https: //t.co/bK0ngP2nIy

LOK:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

- „RedDrip“ komanda (@ RedDrip7) 2019 m. Vasario 25 d

„WinRAR“ avarija

Vakar buvo aptiktas pirmasis išnaudojimas, kuriuo bandoma implantuoti užkrėstą kompiuterį užpakalines duris. Taigi atrodo, kad tai pirmasis, kuris nori pasinaudoti šia „WinRAR“ klaida. Nors tai nereiškia, kad nėra kitų, tai dar nebuvo sužinota. Kai jie ištyrė minėtą pridedamą RAR failą, apie kurį jau kalbėjome anksčiau, buvo matyti, kad buvo bandoma išgauti failą aplanke C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \.

Kai tai atsitiks, failas nukopijuotas į% Temp% \ ir paleistas failas wbssrv.exe, kaip teigė tyrėjai. Paleidus kenksmingą kodą, atsisiųstas „Cobalt Strike Beacon DLL“, kurį elektroniniai nusikaltėliai naudoja nuotolinio prieigos prie kompiuterių metu.

Vartotojams rekomenduojama atnaujinti naujausią „WinRAR“ versiją, kurią bendrovė jau paskelbė internete. Norėdami jį atsisiųsti, turite įvesti šią nuorodą.

„Hacker News“ šriftas