[Cảnh báo] Lỗ hổng trên Winrar vẫn đang bị tấn công liên tục vì phần mềm này không hỗ trợ auto-update
Các nhóm tin tặc khác nhau và các tin tặc cá nhân vẫn đang tích cực khai thác lỗ hổng thực thi mã từ xa nghiêm trọng được vá gần đây trong WinRAR, một ứng dụng nén tệp Windows phổ biến với 500 triệu người dùng trên toàn thế giới.
 |
| Lỗ hổng trên Winrar vẫn đang bị tấn công liên tục vì phần mềm này không hỗ trợ auto-update - CyberSec365.org |
Theo đó, một lỗ hổng bảo mật nghiêm trọng (có mã hiệu CVE-2018-20250) tồn tại trong tất cả các phiên bản WinRar được phát hành trong vòng 19 năm qua đã được các nhà nghiên cứu bảo mật thuộc hãng bảo mật CheckPoint phát hiện vào đầu tháng 2/2019 và được WinRar phát hành bản vá lỗi vào cuối tháng 2/2019.
Đối với những người không biết, lỗ hổng bảo mật là lỗi "Absolute Path Traversal" nằm trong thư viện bên thứ ba cũ UNACEV2.DLL của WinRAR và cho phép kẻ tấn công trích xuất tệp thực thi được nén từ kho lưu trữ của ACE vào một trong các thư mục Windows Startup, trong đó tập tin độc hại sẽ tự động chạy trong lần khởi động lại tiếp theo.
Do đó, để khai thác thành công lỗ hổng này và kiểm soát hoàn toàn các máy tính được nhắm mục tiêu, tất cả những kẻ tấn công cần làm chỉ là thuyết phục người dùng mở tệp lưu trữ nén độc hại bằng WinRAR.
 |
| Lỗ hổng trên Winrar vẫn đang bị tấn công liên tục vì phần mềm này không hỗ trợ auto-update - CyberSec365.org |
Ngay sau khi thông tin chi tiết và mã khai thác mẫu (PoC) được công khai, những kẻ tấn công bắt đầu khai thác lỗ hổng trong chiến dịch email malspam để cài đặt phần mềm độc hại trên máy tính của người dùng chạy phiên bản phần mềm dễ bị tấn công.
Hiện tại, các nhà nghiên cứu bảo mật từ McAfee cho biết rằng họ đã xác định được hơn "100 lần khai thác" trong tuần đầu tiên kể từ khi lỗ hổng được tiết lộ công khai, với hầu hết các mục tiêu ban đầu cư trú tại Mỹ.
Trong chiến dịch tấn công gần đây nhất, các nhà nghiên cứu phát hiện một tệp nén chứa album của ca sĩ Ariana Grande có tên Ariana_Grande-thank_u,_next(2019)_[320].rar. Khi giải nén tệp này, nó sẽ trích xuất ra một danh sách 13 tập tin MP3 vô hại kèm 01 tập tin mã độc vào thư mục Windows Startup. Đáng nói hơn, tại thời điểm viết bài, chỉ có 11 trong số 53 công cụ Anti-Virus phát hiện tập nén này có chứa mã độc.
"When a vulnerable version of WinRAR is used to extract the contents of this archive, a malicious payload is created in the Startup folder behind the scenes," the researchers explain.Hiện tại, các chiến dịch như vậy vẫn đang tiếp diễn và các nhà nghiên cứu khuyến cáo người dùng nên lập tức cài đặt phiên bản mới nhất của phần mềm WinRAR càng sớm càng tốt vì phần mềm này hoàn toàn không có tính năng auto-update và tránh mở các tệp nhận được từ các nguồn không xác định.
"User Access Control (UAC) is bypassed, so no alert is displayed to the user. The next time the system restarts, the malware is run."
Nguồn: McAfee
![[Cảnh báo] Lỗ hổng trên Winrar vẫn đang bị tấn công liên tục vì phần mềm này không hỗ trợ auto-update](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPMDlRmnBphGF7ipHFSWnlxzZdWcoX1CfGvqJgNV6vYFFsp393EdeujmLBFSW8_L84DVxn-U2jYeX8tevYFZrti449QeTbEtBw6HoCIDuEmkMtJM_32W52wLapUcOByk-lHPn3fhmBaKgB/s72-c/WinRAR-Download.jpg)
Không có nhận xét nào