اكتشف استغلال استغلال يستخدم فشل Winrar لتثبيت الباب الخلفي

كان المحققون من Check Pont مسؤولين عن اكتشاف الخلل في WinRAR. حكم موجود منذ ما يقرب من عقدين. ينشأ من DLL قديم من عام 2006 ، والذي لم يكن لديه آليات الحماية اللازمة. بسبب هذا الفشل ، قد يكون هناك حوالي 500 مليون مستخدم في خطر. تم اكتشاف أول برمجية إكسبلويت هذا الأسبوع ، والتي تم إرسالها عبر بريد إلكتروني تضمن ملف RAR كمرفق.

تم الكشف عن استغلال برمجية يستغل فشل WinRAR في تثبيت باب خلفي

يكمن الفشل المحدد في مكتبة جهة خارجية تسمى UNACEV2.DLL. كإجراء ، تم إطلاق بيتا حيث يتم إزالته. فشل في دعم ملفات ACE بهذه الطريقة.

ربما يتم تسليم أول برنامج ضار عبر البريد لاستغلال ثغرة WinRAR. يتم إنشاء الباب الخلفي بواسطة MSF ويتم كتابته إلى مجلد بدء التشغيل العام بواسطة WinRAR إذا تم إيقاف تشغيل UAC. https: //t.co/bK0ngP2nIy

اللجنة الأولمبية الدولية:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

- فريق RedDrip (@ RedDrip7) 25 فبراير 2019

تحطم WinRAR

بالأمس تم الكشف عن أول استغلال يحاول زرع باب خلفي في جهاز كمبيوتر مصاب. لذلك يبدو أن أول من يريد الاستفادة من هذا الخطأ في WinRAR. على الرغم من أن هذا لا يعني أنه لا يوجد آخرون ، لم يتم اكتشافهم بعد. عندما قاموا بفحص ملف RAR المرفق المذكور أعلاه ، والذي تحدثنا عنه من قبل ، فقد لوحظ أنه جرت محاولة لاستخراج ملف في المجلد C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \.

عند حدوث ذلك ، يتم نسخ الملف إلى٪ Temp٪ \ ثم يتم تشغيل ملف wbssrv.exe ، كما قال الباحثون. بمجرد تشغيل الشفرة الخبيثة ، يتم تنزيل Cobalt Strike Beacon DLL ، التي يستخدمها مجرمو الإنترنت للوصول إلى أجهزة الكمبيوتر عن بُعد.

يُنصح المستخدمون بالتحديث إلى أحدث إصدار من WinRAR ، الذي جعلته الشركة متاحًا بالفعل على الويب. لتنزيله ، يجب عليك إدخال هذا الرابط.

الخط أخبار هاكر