Обнаружен эксплойт, использующий сбой winrar для установки бэкдора

Следователи из Check Pont отвечали за обнаружение ошибки в WinRAR. Постановление, которое присутствует почти два десятилетия. Он возник из старой библиотеки DLL 2006 года, которая не имела необходимых механизмов защиты. Из-за этого сбоя может быть около 500 миллионов пользователей. На этой неделе был обнаружен первый эксплойт, который был отправлен по электронной почте с вложенным файлом RAR.

Обнаружен эксплойт, использующий сбой WinRAR для установки бэкдора

Конкретная ошибка заключается в сторонней библиотеке UNACEV2.DLL. В качестве меры была запущена бета-версия, в которой она была удалена. Неспособность поддерживать файлы ACE таким способом.

Возможно, первое вредоносное ПО, доставленное по почте для использования уязвимости WinRAR. Бэкдор генерируется MSF и записывается в глобальную папку автозагрузки WinRAR, если UAC выключен.https: //t.co/bK0ngP2nIy

МОК:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

- RedDrip Team (@ RedDrip7) 25 февраля 2019 г.

Сбой WinRAR

Вчера был обнаружен первый эксплойт, который пытается внедрить бэкдор в зараженный компьютер. Так что, похоже , первым, кто хочет воспользоваться этой ошибкой в ​​WinRAR. Хотя это не значит, что нет других, которые еще не были обнаружены. Когда они изучили вышеупомянутый прикрепленный RAR-файл, о котором мы говорили ранее, было видно, что была сделана попытка извлечь файл из папки C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \.

Когда это происходит, файл копируется в% Temp% \, а затем запускается файл wbssrv.exe, как сказали исследователи. После запуска вредоносного кода загружается DLL-библиотека Cobalt Strike Beacon, которая используется злоумышленниками для удаленного доступа к компьютерам.

Пользователям рекомендуется выполнить обновление до последней версии WinRAR, которую компания уже сделала доступной в Интернете. Чтобы скачать его, вы должны войти по этой ссылке.

The Hacker News Шрифт