Уязвимость в WinRAR

2c71e9

RAM
PR-group
Регистрация
19.04.2019
Сообщения
129
Оценка реакций
65
Баллы
23
На прошлой неделе специалисты Check Point сообщили о серьезной уязвимости в WinRAR и продемонстрировали эксплуатацию этой проблемы. Практически все 500 млн пользователей WinRAR оказались под угрозой, так как найденная проблема существует в коде примерно 19 лет.

Уязвимость связана со старой сторонней библиотекой UNACEV2.DLL: оказалось, что можно создать специальный архив ACE, который при распаковке сможет поместить вредоносный файл в произвольную директорию, в обход фактического пути для распаковки (например, добавив малварь в автозагрузку).


Уязвимость устранили с релизом WinRAR 5.70 Beta 1, еще в январе текущего года. Разработчики приняли решение отказаться от поддержки формата ACE вовсе.

Теперь эксперты 360 Threat Intelligence Center сообщили, что уязвимость уже находится под атакой. Спамеры начали прикладывать к своим посланиям вредоносные архивы, которые при распаковке заражают машину пострадавшего бэкдором.

4368

Как и в примере, который приводили специалисты Check Point, малварь разархивируется прямиком в директорию Startup. Отмечается, что при включенном UAC вредоносу попросту не хватит прав, и WinRAR сообщит, что в доступе было отказано, а операция завершилась неудачей.

4369

Если же UAC отключен, малварь попадает в директорию Startup под именем CMSTray.exe и будет выполнена при следующем входе в систему. Затем CMSTray.exe скопирует себя в %Temp%\wbssrv.exe и выполнит файл wbssrv.exe. Тот свяжется с управляющим сервером и загрузит оттуда пентестинговый инструмент Cobalt Strike Beacon DLL, который злоумышленники нередко используют для удаленного доступа к машинам жертв.
 

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3
Модератор
Регистрация
19.12.2018
Сообщения
318
Оценка реакций
253
Баллы
64
да уже эксплойт есть уже давно...
 

k1ng0fn0th1ng

HDD-drive
Пользователь
Регистрация
05.12.2018
Сообщения
35
Оценка реакций
8
Баллы
9
какой CVE у этой уязвимости?
эксплойт паблик или в подаже?
 

tabac

(L1) cache
PR-group
Регистрация
30.09.2018
Сообщения
565
Оценка реакций
859
Баллы
106
да, это паблик сплойт, уже давно вышел CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253.
статейка о том, как создать evil архив - https://xss.is/threads/28433/
 
  • Like
Реакции: Veil

k1ng0fn0th1ng

HDD-drive
Пользователь
Регистрация
05.12.2018
Сообщения
35
Оценка реакций
8
Баллы
9
да, это паблик сплойт, уже давно вышел CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253.
На прошлой неделе специалисты Check Point сообщили о серьезной уязвимости в WinRAR и продемонстрировали эксплуатацию этой проблемы.
Не обратил внимание, что ссылка на бородатую статью полугодовой давности. Подумал это новая уязвимость, а не CVE-2018-20250... Нафига было копипастить это в июле со словами "На прошлой неделе специалисты..." если статья от февраля?
 

2c71e9

RAM
PR-group
Регистрация
19.04.2019
Сообщения
129
Оценка реакций
65
Баллы
23
давно не давно, людям будет полезно, винрар годами не обновляют. как по так и протокол шифрования ^_^
 

Flyffer

CD-диск
Пользователь
Регистрация
26.04.2019
Сообщения
10
Оценка реакций
1
Баллы
3
да это жестко
 
Верх