Виявлено експлуатацію, яка використовує збій winrar для встановлення backdoor

Слідчі з Check Pont відповідали за виявлення помилки в WinRAR. Постанова, яка присутня майже два десятиліття. Він походить від старої DLL з 2006 року, яка не мала необхідних механізмів захисту. Через цю невдачу може бути близько 500 мільйонів користувачів. Цього тижня було виявлено перший подвиг, який було надіслано електронною поштою, яка містила файл RAR як додаток.

Виявлено, що експлуатується, що використовує невдачу WinRAR для встановлення backdoor

Конкретний збій криється в сторонній бібліотеці під назвою UNACEV2.DLL. В якості міри було запущено бета-версію, в якій її видаляють. Не вдалося підтримати файли ACE таким чином.

Можливо, перше зловмисне програмне забезпечення, доставлене поштою для використання вразливості WinRAR. Задній пристрій генерується MSF та записується у загальну папку запуску програмою WinRAR, якщо UAC вимкнено.https: //t.co/bK0ngP2nIy

МОК:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108:243 pic.twitter.com/WpJVDaGq3D

- RedDrip Team (@ RedDrip7) 25 лютого 2019 року

Аварія WinRAR

Вчора було виявлено перший подвиг, який намагається імплантувати задній будинок на зараженому комп’ютері. Тому, здається, це перший, хто хоче скористатися цією помилкою в WinRAR. Хоча це не означає, що немає інших, які ще не були виявлені. Коли вони вивчили вищезазначений доданий файл RAR, про який ми говорили раніше, було помічено, що було зроблено спробу витягнути файл у папці C: \ ProgramData \ Microsoft \ Windows \ Пуск меню \ Програми \ Запуск \ Папка \.

Коли це трапляється, файл копіюється у% Temp% \, а потім запускається файл wbssrv.exe, як заявили дослідники. Після запуску шкідливого коду завантажується DLL програми Cobalt Strike Beacon, яка використовується кіберзлочинцями для віддаленого доступу до комп'ютерів.

Користувачам рекомендується оновити до останньої версії WinRAR, яку компанія вже зробила доступною в Інтернеті. Щоб завантажити його, вам потрібно ввести це посилання.

Шрифт новин Hacker