Exploit se aproveita de vulnerabilidade no WinRAR para instalar um backdoor | WeLiveSecurity

Exploit se aproveita de vulnerabilidade no WinRAR para instalar um backdoor

Logo após a divulgação de uma vulnerabilidade que afeta o WinRAR, pesquisadores detectaram uma campanha que é distribuída por email e que tenta explorar a falha para instalar um backdoor.

Logo após a divulgação de uma vulnerabilidade que afeta o WinRAR, pesquisadores detectaram uma campanha que é distribuída por email e que tenta explorar a falha para instalar um backdoor.

Ontem (25), publicamos a notícia sobre a descoberta de uma vulnerabilidade crítica no WinRAR que afeta todas as versões e que permite que um atacante obtenha controle total da máquina da vítima, aproveitando-se de arquivos no formato ACE. A novidade é que outros pesquisadores detectaram o que pode ser o primeiro exploit que busca tirar proveito dessa falha crítica, que foi distribuída através de um email que incluía um arquivo RAR como anexo.

O problema identificado no WinRAR está em uma biblioteca de terceiros, chamada UNACEV2.DLL, que é usada em todas as versões do programa para descompactar arquivos no formato ACE. Como a empresa responsável por esse conhecido programa de compactação de arquivos não tinha acesso ao código-fonte, a biblioteca não era atualizada desde 2005.

A partir da descoberta deste bug na biblioteca e uma vez que não era possível repará-lo, o WinRAR lançou a versão 5.70 Beta do WinRAR na qual removia a biblioteca e, portanto, deixava de dar suportar aos arquivos ACE. Mas os cerca de 500 milhões de usuários do WinRAR que usam versões anteriores a 5.70 ainda estão expostos.

Os pesquisadores da 360 Threat Intelligence Center publicaram, por meio de sua conta no Twitter, a descoberta de um exploit que tenta implantar um backdoor no computador infectado, indicando que este pode ser o primeiro exploit que busca tirar proveito dessa falha.

Depois de examinar o arquivo RAR anexado, os pesquisadores verificaram que o exploit tenta extrair um arquivo na pasta inicial C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\. Quando o arquivo é extraído, com o nome de CMSTray.exe, na próxima vez em que o computador for iniciado, será executado e copiará o arquivo para %Temp%\ e, em seguida, executará o arquivo wbssrv.exe, de acordo com informações da página BleepingComputer.

Uma vez executado, o código malicioso se conectará com um endereço do qual baixará vários arquivos, entre os quais a ferramenta de pentesting Cobalt Strike Beacon DLL, que também é usada por cibercriminosos para acessar remotamente um computador infectado. Dessa forma, os atacantes poderão executar comandos e se propapar pela rede.

É importante que os usuários atualizem o WinRAR para a versão 5.70 o quanto antes para que possam estar protegidos contra essa campanha, bem como outros ataques que podem tentar se aproveitar dessa falha.

Discussão