Ir para conteúdo
  • Cadastre-se

notícia Exploit se aproveita de vulnerabilidade no WinRAR para instalar backdoor

Avalie este tópico:

GNMilasi

Por GNMilasi
em Notícias

 Compartilhar

Posts em destaque

GNMilasi Novato

GNMilasi

Postado
 #1
Postado

Exploit se aproveita de vulnerabilidade no WinRAR para instalar backdoor

 

Winrar_thumb.png

 

Pesquisadores detectaram o que pode ser o primeiro exploit que busca tirar proveito da vulnerabilidade no WinRAR noticiada recentemente.

 

O exploit está sendo distribuído via email como um arquivo RAR.

 

O problema identificado no WinRAR está em uma biblioteca de terceiros, chamada UNACEV2.DLL, que é usada em todas as versões do programa para descompactar arquivos no formato ACE. Como a empresa responsável por esse conhecido programa de compactação de arquivos não tinha acesso ao código-fonte, a biblioteca não era atualizada desde 2005.

 

A partir da descoberta deste bug na biblioteca e uma vez que não era possível repará-lo, o WinRAR lançou a versão 5.70 Beta do WinRAR na qual removia a biblioteca e, portanto, deixava de dar suportar aos arquivos ACE. Mas os cerca de 500 milhões de usuários do WinRAR que usam versões anteriores a 5.70 ainda estão expostos.

 

Os pesquisadores da 360 Threat Intelligence Center publicaram, por meio de sua conta no Twitter, a descoberta de um exploit que tenta implantar um backdoor no computador infectado, indicando que este pode ser o primeiro exploit que busca tirar proveito dessa falha:

 

rar-backdoor.png

 

Depois de examinar o arquivo RAR anexado, os pesquisadores verificaram que o exploit tenta extrair um arquivo na pasta inicial C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\. Quando o arquivo é extraído, com o nome de CMSTray.exe, na próxima vez em que o computador for iniciado, será executado e copiará o arquivo para %Temp%\ e, em seguida, executará o arquivo wbssrv.exe.

 

Uma vez executado, o código malicioso se conectará com um endereço do qual baixará vários arquivos, entre os quais a ferramenta de pentesting Cobalt Strike Beacon DLL, que também é usada por cibercriminosos para acessar remotamente um computador infectado. Dessa forma, os atacantes poderão executar comandos e se propagar pela rede.

 

A recomendação é que os usuários do WinRAR atualizem para a versão 5.70 ou migrem para outras soluções como o 7-Zip.

 

 

Fonte

  • Joinha 2
Link para o comentário
Compartilhar em outros sites

Participe agora da conversa!

Você pode postar agora e se cadastrar mais tarde. Se você tiver uma conta, faça login para postar com sua conta.

Visitante
Responder

×   Você colou conteúdo com formatação.   Restaurar formatação

  Apenas 75 emoticons máximos são permitidos.

×   Seu link foi incorporado automaticamente.   Exibir apenas como um link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Você não pode colar imagens diretamente. Envie ou insira imagens do URL.

×
 Compartilhar
Voltar para a lista de tópicos

Links Rápidos

SOBRE O ELETRÔNICABR

EletrônicaBR é o melhor fórum técnico online, temos o maior e mais atualizado acervo de Esquemas, Bios e Firmwares da internet. Através de nosso sistema de créditos, usuários participativos têm acesso totalmente gratuito. Os melhores técnicos do mundo estão aqui!
Técnico sem o EletrônicaBR não é um técnico completo! Leia Mais...
×
×
  • Criar Novo...