Arka kapıyı kurmak için winrar hatası kullanan bir istismar tespit edildi

Check Pont'tan araştırmacılar WinRAR'da bir hata bulmakla görevli. Neredeyse yirmi yıldır var olan bir karar. Gerekli koruma mekanizmalarına sahip olmayan eski bir DLL dosyasından 2006'dan kaynaklanmaktadır. Bu başarısızlık nedeniyle yaklaşık 500 milyon kullanıcı risk altında olabilir. Bu hafta, ek olarak RAR dosyasını içeren bir e-posta yoluyla gönderilen ilk istismar tespit edildi.

Bir arka kapı kurmak için WinRAR hatasından yararlanan istismar tespit edildi

Belirli bir hata, UNACEV2.DLL adlı üçüncü taraf bir kitaplıkta yatıyor. Bir önlem olarak, kaldırıldığı bir beta başlatıldı. ACE dosyaları bu şekilde desteklenemiyor.

Muhtemelen WinRAR güvenlik açığından yararlanmak için posta yoluyla gönderilen ilk kötü amaçlı yazılım. Arka kapı MSF tarafından oluşturulur ve UAC kapatılırsa WinRAR tarafından genel başlangıç ​​klasörüne yazılır.

IOC:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

- RedDrip Team (@ RedDrip7) 25 Şubat 2019

WinRAR çökmesi

Dün virüslü bir bilgisayara arka kapı yerleştirmeye çalışan ilk istismar tespit edildi. Bu yüzden WinRAR'daki bu hatadan yararlanmak isteyen ilk kişi gibi görünüyor. Bu, henüz keşfedilmemiş başka bir şey olmadığı anlamına gelmese de. Daha önce bahsettiğimiz ekli RAR dosyasını incelediklerinde, C: \ ProgramData \ Microsoft \ Windows \ Başlat Menüsü \ Programs \ Startup \ klasöründeki bir dosyayı ayıklama girişiminde bulunulduğu görülmüştür.

Bu durumda, dosya% Temp% \ klasörüne kopyalanır ve ardından araştırmacıların söylediği gibi wbssrv.exe dosyası çalıştırılır. Kötü amaçlı kod çalıştırıldıktan sonra, siber suçlular tarafından bilgisayarlara uzaktan erişmek için kullanılan Cobalt Strike Beacon DLL indirilir.

Kullanıcıların, şirketin web'de zaten kullanıma sunmuş olduğu en son WinRAR sürümüne güncelleme yapmaları önerilir. İndirmek için bu bağlantıyı girmelisiniz.

Hacker Haber Yazı Tipi