Odnotowujemy ataki in-the-wild wykorzystujące lukę CVE-2018-20250 w WinRAR

19 marca, 2019
WinRAR CVE-2018-20250

Pod koniec lutego 2019 roku eksperci z firmy Check Point pokazali światu aż cztery różne podatności (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252, CVE-2018-20253) w oprogramowaniu WinRAR — popularnym programie do kompresji i archiwizacji danych. Opracowane przez badaczy exploity całkowicie omijały UAC. Chociaż natywne zabezpieczenia systemu Windows ostrzegają przed podnoszeniem uprawnień, to w tym przypadku luka istniejąca od 19 lat w WinRAR zmusiła deweloperów archiwizatora do całkowitego porzucenia wsparcia podatnego na atak formatu ACE, przy czym przygotowane złośliwe archiwum mogło mieć dowolne rozszerzenie (eksperci skupili się na najpopularniejszym — RAR).

CVE-2018-20250 in-the-wild

Od tego czasu w Internecie zostały opisane co najmniej dwa przypadki użycia podatności w WinRAR do ataków na użytkowników.

Pierwszą próbę wykorzystania exploita opisali pracownicy McAfee. Atakujący zamieścił w sieci kopię albumu Ariany Grande z nazwą pliku „Ariana_Grande-thank_u,_next(2019)_[320].rar”. Gdy do wyodrębnienia zawartości tego archiwum zostanie użyta podatna wersja WinRAR, to w folderze Autostart zostanie utworzony szkodliwy ładunek. Kontrola konta użytkownika (UAC) nie ma zastosowania, więc nie jest wyświetlany alert dla użytkownika. Przy następnym uruchomieniu systemu szkodliwe oprogramowanie zostanie uruchomione.

WinRAR luka CVE-2018-20250 Ariana_Grande-thank_u,_next(2019)_[320].rarWinRAR payload

SHA256 archiwum RAR: e6e5530ed748283d4f6ef3485bfbf84ae573289ad28db0815f711dc45f448bec,

SHA256 payload’u: A1C06018B4E331F95A0E33B47F0FAA5CB6A084D15FEC30772923269669F4BC91

Drugi atak opisują badacze z Qihoo 360 Threat Intelligence Center, którzy zaobserwowali plik vk_4221345.rar, czyli też archiwum WinRAR, rozprzestrzeniające ransomware, które po zaszyfrowaniu plików zmienia ich rozszerzenie na *.jnec. Koszt otrzymania dekryptora to około 200 dolarów.

 

 

vk_4221345.rar

Interesujące jest, że autor złośliwego oprogramowania wybrał nietypową metodę dostarczania kluczy do odszyfrowywania plików. Numer identyfikacyjny, który jest unikalny dla każdego komputera, reprezentuje adres poczty Gmail. Chociaż początkowo adres e-mail jest dostępny w notatce okupu, to nie jest jeszcze zarejestrowany. Ofiara musi założyć konto pocztowe o podanym adresie i skontaktować się z przestępcą. Autor ataku, aby upewnić się, że ofiary zrozumieją, w jaki sposób mogą odzyskać swoje dane, zapewnia jasne instrukcje dotyczące tworzenia konkretnego adresu pocztowego. Instrukcje są dostępne w notatce w pliku JNEC.README.TXT po zaszyfrowaniu danych.

SHA256 archiwum RAR: 551541d5a9e2418b382e331382ce1e34ddbd92f11772a5d39a4aeb36f89b315e

SHA256 ransomware: d3f74955d9a69678b0fabb4cc0e298fb0909a96ea68865871364578d99cd8025

Trzeci atak nie jest jeszcze udokumentowany techniczne. Analiza archiwum „denuncias.rar” znajduje się pod tym linkiem i dotyczy trojana bankowego!

SHA256 archiwum z trojanem: fcd460859250768d96ed254ab4aec4ab2ce542e6622d731f8f9a09eb949dd93f 

Nie pozostaje nic innego jak zaktualizować WinRAR do najnowszej wersji. Można też odinstalować oprogramowanie albo zamienić np. na PeaZIP (jest to rozwijany archiwizator plików na licencji Open Source dla Windows i Linux).

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]