Utnyttelse oppdaget som bruker en winrar-feil for å installere bakdøren

Etterforskere fra Check Pont har stått for å oppdage en feil i WinRAR. En kjennelse som har vært til stede i nesten to tiår. Det stammer fra en gammel DLL fra 2006, som ikke hadde de nødvendige beskyttelsesmekanismene. På grunn av denne feilen kan det være rundt 500 millioner brukere i fare. Denne uken ble den første utnyttelsen oppdaget, som ble sendt via en e-post som inkluderte en RAR-fil som vedlegg.

Utnyttelse oppdaget som utnytter WinRAR-feilen ved å installere en bakdør

Den spesifikke feilen ligger i et tredjeparts bibliotek kalt UNACEV2.DLL. Som et tiltak har en beta blitt lansert der den fjernes. Klarer ikke å støtte ACE-filer på denne måten.

Kanskje den første malware som er levert via post for å utnytte WinRAR-sårbarheten. Bakdøren er generert av MSF og skrevet til den globale oppstartsmappen av WinRAR hvis UAC er slått av. Https: //t.co/bK0ngP2nIy

IOC:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

- RedDrip Team (@ RedDrip7) 25. februar 2019

WinRAR-krasj

I går ble den første utnyttelsen som prøver å implantere en bakdør i en infisert datamaskin oppdaget. Så det ser ut til å være den første som vil dra nytte av denne feilen i WinRAR. Selv om dette ikke betyr at det ikke er andre, har de ennå ikke blitt oppdaget. Når de har undersøkt den nevnte vedlagte RAR-filen, som vi har snakket om før, har det blitt sett at det ble gjort et forsøk på å trekke ut en fil i C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ mappen.

Når dette skjer, kopieres filen til% Temp% \ og deretter kjøres wbssrv.exe-filen, som forskerne har sagt. Når den ondsinnede koden er kjørt, lastes Cobalt Strike Beacon DLL, som brukes av nettkriminelle til ekstern tilgang til datamaskiner, ned.

Brukere anbefales å oppdatere til den nyeste versjonen av WinRAR, som selskapet allerede har gjort tilgjengelig på nettet. For å laste ned den må du legge inn denne lenken.

The Hacker News Font