Lỗ hổng WinRAR bị lợi dụng để tấn công máy tính Windows

0
455

Tin tặc đang tăng cường tấn công vào hệ thống máy tính Windows thông qua khai thác lỗ hổng nghiêm trọng được phát hiện mới đây trên WinRAR.

WinRAR là một ứng dụng nén tệp Windows phổ biến với 500 triệu người dùng trên toàn thế giới. Lỗ hổng “Absolute Path traversal” nghiêm trọng (CVE-2018-20250) đã được phát hiện gần đây giúp kẻ tấn công có thể tạo ra các file thực thi trong các thư mục Windows Startup, nơi tệp sẽ tự động chạy trong lần khởi động lại tiếp theo. Lỗi này được cho là có ảnh hưởng tới tất cả các phiên bản WinRAR được phát hành trong suốt 19 năm qua.

Để khai thác thành công lỗ hổng và kiểm soát hoàn toàn các máy tính mục tiêu, tất cả những gì kẻ tấn công cần làm chỉ là thuyết phục người dùng mở tệp nén độc hại được tạo thủ công bằng WinRAR.

Tin tặc đang tạo ra các chiến dịch tấn công trên diện rộng
Các nhà nghiên cứu bảo mật tại 360TIC đã phát hiện một chiến dịch email malspam đang phát tán tệp lưu trữ RAR độc hại khai thác lỗ hổng WinRAR mới nhất để cài đặt phần mềm độc hại trên các máy tính chạy phiên bản phần mềm tồn tại lỗ hổng.

Đầu tiên, phần mềm độc hại được gửi qua thư để khai thác lỗ hổng WinRAR, sau đó tạo cửa hậu (backdoor) bằng MSF [Microsoft Solutions Framework] và được WinRAR ghi vào thư mục khởi động nếu UAC bị tắt.

Như được hiển thị trong ảnh chụp màn hình do các nhà nghiên cứu chia sẻ, khi mở bằng phần mềm WinRAR và chạy với đặc quyền của quản trị viên hoặc UAC bị vô hiệu hóa, phần mềm độc hại (vốn được thiết kế để lây nhiễm máy tính mục tiêu và tạo ra một backdoor) tạo ra các tệp tin exe độc hại (CMSTray.exe) vào thư mục Windows Startup.

Đọc thêm: Lỗ hổng SSL/TLS trong mạng wifi sắp được công bố tại Defcon 22
Nếu UAC được bật, mã độc sẽ không thể lây nhiễm vào vào thư mục C:\ProgramData, do đó không gây ảnh hưởng tới máy tính.

Cách tốt nhất để bảo vệ bạn khỏi các cuộc tấn công này là cập nhật phần mềm bằng cách cài đặt phiên bản WinRAR mới nhất càng sớm càng tốt và tránh mở các tệp nhận được từ các nguồn không xác định.

Do nhóm WinRAR đã mất quyền truy cập vào mã nguồn cho thư viện UNACEV2.DLL tồn tại lỗ hổng từ năm 2005, nên thay vì khắc phục sự cố, đội ngũ WinRAR đã phát hành phiên bản WINRar 5.70 beta 1 không hỗ trợ định dạng DLL và ACE. Việc này giúp khắc phục được lỗi đã công bố, nhưng đồng thời cũng loại bỏ tất cả hỗ trợ của ACE khỏi WinRAR.

THN – securitydaily.net

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây