Izmantot atklāto, kas aizmugures durvju instalēšanai izmanto vietējā līmeņa kļūdas

Izmeklētāji no Check Pont ir atbildīgi par WinRAR kļūdas atklāšanu. Nolēmums, kas pastāv gandrīz divas desmitgades. Tā izcelsme ir vecajā DLL no 2006. gada, kurai nebija nepieciešamo aizsardzības mehānismu. Šīs neveiksmes dēļ risks varētu būt aptuveni 500 miljoniem lietotāju. Šonedēļ tika atklāta pirmā izmantošana, kas tika nosūtīta pa e-pastu, kurā kā pielikums bija RAR fails.

Izmantot atklāto, kas izmanto WinRAR neveiksmi, uzstādot aizmugurējo sienu

Konkrētā kļūda ir saistīta ar trešās puses bibliotēku ar nosaukumu UNACEV2.DLL. Kā pasākums ir uzsākta beta versija, kurā tā tiek noņemta. Šādi neatbalstot ACE failus.

Iespējams, pirmā ļaunprātīgā programmatūra, kas piegādāta pa pastu, lai izmantotu WinRAR ievainojamību. Aizmugurējās durvis ģenerē MSF, un WinRAR to ieraksta globālajā startēšanas mapē, ja UAC ir izslēgts.https: //t.co/bK0ngP2nIy

SOK:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

- RedDrip komanda (@ RedDrip7) 2019. gada 25. februāris

WinRAR avārija

Vakar tika atklāts pirmais ekspluatācijas veids, ar kuru inficētajā datorā mēģina implantēt sētas durvis. Tāpēc šķiet, ka tas ir pirmais, kurš vēlas izmantot šo kļūdu WinRAR. Lai gan tas nenozīmē, ka citu nav, tie vēl nav atklāti. Kad viņi ir pārbaudījuši iepriekšminēto pievienoto RAR failu, par kuru mēs jau runājām iepriekš, tika redzams, ka tika mēģināts izvilkt failu mapē C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \.

Kad tas notiek, fails tiek kopēts uz% Temp% \ un pēc tam tiek palaists fails wbssrv.exe, kā teica pētnieki. Tiklīdz ir palaists ļaunprātīgais kods, tiek lejupielādēts Kobalt Strike Beacon DLL, ko kibernoziedznieki izmanto, lai attālināti piekļūtu datoriem.

Lietotājiem ieteicams atjaunināt uz jaunāko WinRAR versiju, kuru uzņēmums jau ir darījis pieejamu tīmeklī. Lai to lejupielādētu, jums jāievada šī saite.

Hakeru ziņu fonts