Une vulnérabilité d’exécution de code dans WinRAR a généré plus d’une centaine d’exploits différents au cours de la première semaine depuis sa publication, et le nombre d’exploits continue d’augmenter.

L’intérêt des pirates a probablement été piqué par les 500 millions d’utilisateurs du logiciel de compression de fichiers et par le fait que l’erreur (CVE-2018-20250) était présente dans toutes les versions au cours des 19 dernières années. De plus, la récompense serait un contrôle total sur le système de la victime.

Le chercheur de McAfee Craig Schmugar a rapporté jeudi lors d’une récente attaque que les pirates avaient séduit les victimes avec une fausse copie de l’album d’Ariana Grande « Thank U, Next ».

Les fichiers musicaux seraient livrés dans un fichier d’archive nommé « Ariana_Grande-Thank_u, _next (2019) _.[320].rar. «L’utilisation d’une version vulnérable de WinRAR pour extraire les fichiers ajoutera une charge malveillante au dossier de démarrage de Windows.

Le chercheur affirme que la plupart des cibles initialement observées étaient des résidents des États-Unis. La société a identifié plus de 100 exploits dans la semaine suivant la divulgation, et le nombre a augmenté.

« Le contrôle d’accès utilisateur (UAC) est contourné afin que l’utilisateur ne voie pas d’avertissement. Au prochain redémarrage du système, le logiciel malveillant s’exécutera », a déclaré Schmugar expliqué.

Les exploits se produisent deux jours après la divulgation d’un bogue

Chercheur en sécurité du 360 Threat Intelligence Center exploits découverts pour le WinRAR, qui a été déployé dans la nature le 20 février, deux jours après sa sortie. Ils ont été utilisés dans des attaques de phishing qui ont été attirés par des images ou des documents archivés.

Plus récemment, des chercheurs chinois ont remarqué une campagne utilisant les documents des Nations Unies sur les droits de l’homme pour attirer les victimes au Moyen-Orient. La charge utile était un outil d’accès à distance (RAT). actuellement reconnu à partir d’au moins 28 moteurs antivirus.

CVE-2018-20250 a été découvert par Nadav Grossman de Check Point à l’aide du fuzzer WinAFL. C’est un Erreur logique traversant le chemin ACE dans la bibliothèque ‘unacev2.dll’ ajoutée à WinRAR pour extraire l’ancien format d’archive ACE, désormais rarement utilisé.

Le code de la bibliothèque est resté inchangé depuis 2005. Le code source a été perdu entre-temps, de sorte que les responsables de WinRAR ne pouvaient plus réparer la partie vulnérable. Pour cette raison, la solution était de supprimer la prise en charge des archives ACE dans la première version bêta de WinRAR 5.70.

Cependant, les utilisateurs peuvent toujours profiter du support ACE dans WinRAR en appliquant un micropatch spécialement créé pour résoudre ce problème. La solution est disponible à partir de Plateforme 0Patch de ACROS Security.

Il est conseillé aux utilisateurs de WinRAR d’utiliser les deux solutions pour immuniser le programme contre les méthodes d’exploitation actuelles.





Source link

Recent Posts