Falha do WinRAR esta sendo explorada para invadir computadores com Windows

Não é apenas a vulnerabilidade crítica do Drupal que está sendo explorada pelos  cibercriminosos selvagens para atacar sites vulneráveis ​​que ainda não aplicaram patches já disponíveis por seus desenvolvedores, mas os hackers também estão explorando uma vulnerabilidade crítica do WinRAR que também foi revelada na semana passada.

Alguns dias atrás, The Hacker News relatou sobre uma vulnerabilidade de execução remota de código de 19 anos divulgada pela Check Point na biblioteca UNACEV2.dll do WinRAR que poderia permitir que um arquivo morto da ACE criado com códigos maliciosos executasse um código arbitrário em um sistema direcionado .

O WinRAR é um popular aplicativo de compactação de arquivos do Windows com 500 milhões de usuários em todo o mundo, mas um bug “Absolute Path Traversal” (CVE-2018-20250) em sua antiga biblioteca de terceiros, chamada UNACEV2.DLL, pode permitir que invasores extraiam um arquivo compactado. arquivo executável do arquivo ACE para uma das pastas de inicialização do Windows, onde o arquivo seria executado automaticamente na próxima reinicialização. Para explorar com êxito a vulnerabilidade e assumir o controle total sobre os computadores de destino, tudo o que um invasor precisa fazer é convencer os usuários a abrir um arquivo compactado com códigos maliciosos usando o WinRAR. Apenas um dia após o post no blog da Check Point e um vídeo de prova de conceito

(que mostrou como um arquivo ACE pode extrair um arquivo malicioso para a pasta Startup do Windows) tornou-se público, um código de exploração de prova de conceito (PoC) para a vulnerabilidade recém-descoberta do WinRAR foi publicado no Github.

O que é pior?

Os pesquisadores de segurança do 360 Threat Intelligence Center (360TIC) detectaram ontem uma campanha de e-mail malspam que distribui um arquivo RAR malicioso que explora a vulnerabilidade mais recente do WinRAR para instalar malware em computadores que executam a versão vulnerável do software.

“Possivelmente, o primeiro malware entregue pelo correio para explorar a vulnerabilidade do WinRAR. O backdoor é gerado pelo MSF [Microsoft Solutions Framework] e gravado na pasta de inicialização global pelo WinRAR se o UAC estiver desativado”, os pesquisadores twittaram .

Conforme mostrado na captura de tela compartilhada pelos pesquisadores, quando aberto usando o WinRAR – software executado com privilégios de administrador ou em um sistema direcionado com o UAC (Controle de Conta de Usuário) desabilitado – o malware descarta um arquivo exe malicioso (CMSTray.exe) para o Windows Startup pasta, projetada para infectar o computador de destino com um backdoor.

Como o UAC coloca algumas limitações nas permissões, a tentativa de extrair o arquivo com o UAC habilitado não coloca o arquivo exe malicioso na pasta C: \ ProgramData, portanto, não infecta o computador.

A melhor maneira de se proteger desses ataques é atualizar seu software instalando a versão mais recente do WinRAR o mais rápido possível e evitar a abertura de arquivos recebidos de fontes desconhecidas.

Como a equipe do WinRAR perdeu o acesso ao código-fonte da biblioteca vulnerável UNACEV2.DLL em 2005, em vez de corrigir o problema, lançou o WINRar versão 5.70 beta 1 que não suporta o formato DLL e ACE. Essa correção corrigiu o bug, mas ao mesmo tempo também remove todo o suporte ao ACE do WinRAR.

Canal theevolutiontech

Apenas mais um fã da grande rede , um maluco pela internet que passa grande parte do tempo conectado sempre a procura de novidades online , e sempre achando já que a rede é movida por novidades ...

Deixe um Comentário !