Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Уязвимость в WinRAR для установки бэкдора начали эксплуатировать

26/02/19

hack62-1Не прошло и недели с момента обнаружения уязвимости в популярном архиваторе WinRAR, как злоумышленники уже взяли ее на вооружение. Специалисты Quihoo 360 заметили первую вредоносную кампанию, использующую данную проблему для внедрения вредоносного ПО на компьютеры пользователей.

Напомним, речь идет об уязвимости обхода каталога во включенной в состав WinRAR библиотеке UNACEV2.DLL, используемой для распаковки файлов в формате ACE. Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем. Таким образом они могут поместить вредоносный код в папку автозагрузки Windows, который будет автоматически выполняться при каждой загрузке системы.

Специалисты обнаружили электронную рассылку, распространяющую RAR архив, который при распаковке устанавливает на компьютер инструмент Cobalt Strike Beacon, применяемый злоумышленниками для получения удаленного доступа к компьютеру.

Как показал анализ, проведенный экспертами ресурса BleepingComputer, при распаковке вредоносный архив извлекает файлы в папку автозагрузки Windows. Если на устройстве включена функция контроля учетных записей пользователей (User Account Control, UAC), WinRAR отобразит сообщение об ошибке, однако в случае, если UAC отключен или архиватор работает с правами администратора, вредоносные файлы будут извлечены в C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe и при следующей загрузке системы выполнится исполняемый файл CMSTray.exe.

При запуске CMSTray.exe копируется в папку %Temp%\wbssrv.exe, а затем выполняется файл wbssrv.exe. Последний подключается к http://138.204.171.108 и загружает различные файлы, в том числе инструмент Cobalt Strike Beacon. После загрузки вредоносной DLL атакующие получат возможность удаленно подключаться к компьютеру, выполнять команды и инфицировать другие ПК в сети.

На минувшей неделе разработчики WinRAR выпустили исправленную версию WinRAR 5.70 Beta 1, в которой удалена библиотека UNACEV2.DLL, а вместе с ней поддержка распаковки файлов в формате ACE. Пользователям рекомендуется обновиться до новой версии WinRAR как можно скорее. Если по каким-либо причинам это невозможно, владельцы ПК могут воспользоваться сторонним патчем для всех 32- и 64-разрядных версий WinRAR, использующих версию UNACEV2.DLL от 2005 года, который сохраняет возможность распаковки файлов в формате ACE.

Темы:ПреступленияQuihoo 360
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...