Взлом и проверка на уязвимости

Использование уязвимости WinRAR ACE

Несколько дней назад мы сообщили об уязвимости WinRAR ACE, существовавшей 19 лет. Хотя производители избавились от уязвимой DLL в последней версии WinRAR, этого, безусловно, недостаточно для защиты 500 миллионов уязвимых клиентов. Возможно, хакеры раскрыли информацию об уязвимости, поскольку уже начали использовать недостаток вредоносного спама. Предположительно, они использовали уязвимость WinRAR ACE для установки бэкдора.

Уязвимость WinRAR ACE, используется для MalSpam

Через несколько дней после того, как стала известна уязвимость WinRAR ACE, исследователи из 360 Threat Intelligence Center обнаружили ее активную эксплуатацию.

В своем недавнем твите, 360 Threat Intelligence Center рассказали свои выводы.

После твита, Bleeping Computer углубились в открытие 360 CIT.

Что касается стратегии использования, оба источника подтвердили, что вредоносная программа работает точно так же, как Check Point, описанный ранее. Вредоносный файл RAR, после попадания на ПК, извлекает файлы в папку «Автозагрузка», только если UAC выключен. В случае, если UAC включен, появится сообщение об ошибке от WinRAR.

После успешного извлечения вредоносного файла CMSTray.exe вредоносная программа полностью настроена на выполнение при следующем запуске зараженного устройства.

Bleeping Computers также объяснили следующие шаги атаки. Как сообщается, CMSTray.exe будет запускать wbssrv.exe — вредоносную программу, которая запрашивает и выполняет удаленные команды.

«После запуска он скопирует CMSTray.exe в %Temp%\wbssrv.exe и выполнит файл wbssrv.exe».

Использование уязвимости WinRAR ACE
Запуск %Temp%\wbssrv.exe (Источник: Bleeping Computer)

После запуска вредоносная программа загружает вредоносные файлы, в том числе Cobalt Strike Beacon DLL (инструмент для тестирования), подключаясь к [http]: //138.204.171.108/. Cobalt Strike Beacon поможет хакеру получить удаленный доступ к устройству. После проведения этих действий злоумышленник получает полный контроль над ПК и может выполнять произвольный код и команды.

Что нужно сделать?

Обновите WinRAR прямо сейчас, чтобы избежать атак MalSpam. Все, что нужно сделать, это удалить существующую версию WinRAR на устройстве и установить версию 5.7 beta 1 или новее. Также можно скачать микропатч от 0patch, который поможет в устранении уязвимости (CVE-2018-20250).

Proxy White Advertisement

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close