Vài ngày trước, Tin tức Hacker đã báo cáo về lỗ hổng thực thi mã từ xa 19 tuổi được tiết lộ bởi Check Point trong thư viện WinRAR của UNACEV2.dll có thể cho phép tệp lưu trữ ACE được tạo độc hại thực thi mã tùy ý trên hệ thống được nhắm mục tiêu .
WinRAR là một ứng dụng nén tệp Windows phổ biến với 500 triệu người dùng trên toàn thế giới, nhưng một lỗi nghiêm trọng "Đường dẫn tuyệt đối" (CVE-2018-20250) trong thư viện bên thứ ba cũ của nó, được gọi là UNACEV2.DLL, có thể cho phép kẻ tấn công trích xuất một nén tệp thực thi từ kho lưu trữ ACE đến một trong các thư mục Khởi động Windows, nơi tệp sẽ tự động chạy trong lần khởi động lại tiếp theo. Để khai thác thành công lỗ hổng và kiểm soát hoàn toàn các máy tính được nhắm mục tiêu, tất cả những gì kẻ tấn công cần làm chỉ là thuyết phục người dùng mở tệp lưu trữ nén được tạo thủ công độc hại bằng WinRAR. Chỉ một ngày sau bài đăng trên blog của Check Point và bằng chứng về video khái niệm
(đã trình bày cách lưu trữ ACE có thể trích xuất tệp độc hại vào thư mục Khởi động Windows), công khai mã khai thác Proof-of-Concept (PoC) cho lỗ hổng WinRAR mới được phát hiện đã được xuất bản cho Github.
Điều gì tồi tệ hơn?
Các nhà nghiên cứu bảo mật tại Trung tâm tình báo đe dọa 360 (360TIC) mới hôm qua đã phát hiện một chiến dịch email malspam tự nhiên đang phân phối tệp lưu trữ RAR độc hại khai thác lỗ hổng WinRAR mới nhất để cài đặt phần mềm độc hại trên các máy tính chạy phiên bản phần mềm dễ bị tấn công.
"Có thể phần mềm độc hại đầu tiên được gửi qua thư để khai thác lỗ hổng WinRAR. Cửa hậu được tạo bởi MSF [Microsoft Solutions Framework] và được WinRAR ghi vào thư mục khởi động toàn cầu nếu UAC bị tắt", các nhà nghiên cứu tweet .
Như được hiển thị trong ảnh chụp màn hình được các nhà nghiên cứu chia sẻ, khi mở bằng phần mềm WinRAR, chạy với đặc quyền của quản trị viên hoặc trên hệ thống được nhắm mục tiêu với UAC (Kiểm soát tài khoản người dùng) đã vô hiệu hóa, phần mềm độc hại đã thả tệp exe độc hại (CMSTray.exe) vào Windows Startup thư mục, được thiết kế để lây nhiễm máy tính mục tiêu với một cửa hậu.
Do UAC đặt ra một số hạn chế về quyền, nên cố gắng giải nén tệp lưu trữ với UAC được bật không thể đặt tệp exe độc hại vào thư mục C: \ ProgramData, do đó không thể lây nhiễm vào máy tính.
Cách tốt nhất để bảo vệ bạn khỏi các cuộc tấn công này là cập nhật phần mềm của bạn bằng cách cài đặt phiên bản WinRAR mới nhất càng sớm càng tốt và tránh mở các tệp nhận được từ các nguồn không xác định.
Do nhóm WinRAR đã mất quyền truy cập vào mã nguồn cho thư viện UNACEV2.DLL dễ bị tổn thương vào năm 2005, thay vì khắc phục sự cố, nó đã phát hành phiên bản WINRar 5.70 beta 1 không hỗ trợ định dạng DLL và ACE. Khắc phục sự cố này đã khắc phục lỗi, nhưng đồng thời cũng loại bỏ tất cả hỗ trợ của ACE khỏi WinRAR.
0 nhận xét:
Đăng nhận xét