15 Марта, 2019

Не забудьте обновить WinRar!

Владимир Безмалый

Различные киберпреступные группы и отдельные хакеры все еще используют недавно исправленную  уязвимость  выполнения критического кода  в WinRAR  , популярном приложении для сжатия файлов Windows, которое насчитывает  500 миллионов пользователей по всему миру.

Зачем? Потому что программное обеспечение WinRAR не имеет функции автообновления, что, к сожалению, делает миллионы его пользователей уязвимыми для кибератак.

Критическая уязвимость (CVE-2018-20250), исправленная в конце прошлого месяца командой WinRAR с выпуском WinRAR версии 5.70, затрагивает все предыдущие версии WinRAR, выпущенные за последние 19 лет.

Для тех, кто не знает, уязвимость заключается в ошибке «Absolute Path Traversal», которая находится в старой сторонней библиотеке UNACEV2.DLL WinRAR и позволяет злоумышленникам извлечь сжатый исполняемый файл из архива ACE в одну из папок автозагрузки Windows, где вредоносный файл будет автоматически запускаться при следующей перезагрузке.

Таким образом, чтобы успешно использовать эту уязвимость и получить полный контроль над целевыми компьютерами, злоумышленнику достаточно лишь убедить пользователей открыть сжатый архивный файл, созданный злонамеренно, с помощью WinRAR.

Сразу после того, как подробности и код эксплойта (PoC) стали достоянием общественности, злоумышленники  начали использовать уязвимость  в почтовой кампании с рассылкой вредоносного спама для установки вредоносных программ на компьютеры пользователей, на которых установлена уязвимая версия программного обеспечения.

Теперь исследователи безопасности из McAfee сообщили, что они выявили более 100 «уникальных эксплойтов и подсчетов» за первую неделю с момента публичного раскрытия уязвимости, при этом большинство первоначальных целей находилось в Соединенных Штатах.

Одна недавняя кампания была  обнаружена  исследователями в виде контрабандной копии хитового альбома Ariana Grande, который в настоящее время обнаруживается как вредоносное ПО только 11 продуктами безопасности, тогда как  53 антивирусных продукта  не предупреждают своих пользователей.

Обнаруженный McAfee вредоносный файл RAR (Ariana_Grande-thank_u, _next (2019) _ [320] .rar), извлекает список безвредных файлов MP3 в папку загрузки жертвы, а также устанавливает вредоносный EXE-файл в папку запуска, которая была предназначен для заражения целевого компьютера вредоносным ПО.

«Когда для извлечения содержимого этого архива используется уязвимая версия WinRAR, вредоносная полезная нагрузка создается за кулисами в папке«Автозагрузка», — объясняют исследователи.

«Контроль доступа пользователей (UAC) обойден, поэтому пользователю не выводится предупреждение. При следующем перезапуске системы запускается вредоносное ПО».

К сожалению, такие кампании все еще продолжаются, и лучший способ защитить себя от таких атак — обновить свою систему, установив последнюю версию программного обеспечения WinRAR, как можно скорее и избежать открытия файлов, полученных из неизвестных источников.