winrarの失敗を使用してバックドアをインストールするエクスプロイトが検出されました

Check Pontの調査官は、WinRARのバグの発見を担当しています。 ほぼ20年前から存在している決定。 これは、必要な保護メカニズムがなかった2006年の古いDLLに由来しています。 この失敗により、 約5億人のユーザーが危険にさらされる可能性があります。 今週、最初のエクスプロイトが検出されました。これは、RARファイルを添付ファイルとして含むメールで送信されました。

WinRARのバックドアのインストールの失敗を悪用するエクスプロイトが検出されました

特定の障害は、 UNACEV2.DLLと呼ばれるサードパーティのライブラリにあります。 対策として、削除されたベータ版がリリースされました。 この方法でACEファイルをサポートできません。

おそらく、WinRARの脆弱性を不正利用するためにメールを介して配信された最初のマルウェア。 UACがオフの場合、バックドアはMSFによって生成され、WinRARによってグローバルスタートアップフォルダーに書き込まれます。https：//t.co/bK0ngP2nIy

IOC：

hxxp：//138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

-RedDripチーム（@ RedDrip7）2019年2月25日

WinRARのクラッシュ

昨日、感染したコンピュータにバックドアを埋め込もうとする最初のエクスプロイトが検出されました。 したがって、WinRARのこのバグを利用したい最初の人のようです。 これは他に何もないという意味ではありませんが、まだ発見されていません。 前述の添付されているRARファイルを調査したところ、C：\ ProgramData \ Microsoft \ Windows \スタートメニュー\プログラム\スタートアップ\フォルダーにあるファイルを抽出しようとしたことがわかりました。

これが発生すると、ファイルは％Temp％\にコピーされてから、研究者が言ったようにwbssrv.exeファイルが実行されます。 悪意のあるコードが実行されると、サイバー犯罪者がコンピュータにリモートアクセスするために使用するCobalt Strike Beacon DLLがダウンロードされます。

ユーザーは、WinRARの最新バージョンに更新することをお勧めします。WinRARは、同社がWebですでに提供しているものです。 それをダウンロードするには、このリンクを入力する必要があります。

Hacker Newsフォント