Người dùng WinRAR tiếp tục bị tấn công do thiếu chế độ tự động cập nhật

lỗ hổng WinRAR

Lỗ hổng WinRAR

Tin tặc vẫn đang khai thác lỗ hổng thực thi mã nghiêm trọng đã được vá gần đây trong WinRAR, một ứng dụng nén tệp Windows phổ biến với 500 triệu người dùng trên toàn thế giới – lý do là bởi phần mềm này không có tính năng auto update, khiến hàng triệu người dùng vẫn đang gặp rủi ro an ninh mạng.

Lỗ hổng nghiêm trọng (CVE-2018-20250) đã được nhóm WinRAR vá vào cuối tháng trước khi phát hành phiên bản WinRAR 5.70 beta 1 tác động đến tất cả các phiên bản trước trong 19 năm qua.

Đây là lỗ hổng bảo mật “Absolute Path Traversal” nằm trong library (thư viện) bên thứ ba cũ UNACEV2.DLL của WinRAR, cho phép kẻ tấn công trích xuất tệp thực thi được nén từ kho lưu trữ ACE vào một trong các thư mục Windows Startup, sau đó tập tin độc hại sẽ tự động chạy trong lần khởi động lại tiếp theo. Vì vậy, tất cả những gì hacker cần làm chỉ là thuyết phục người dùng mở tệp lưu trữ nén độc hại bằng WinRAR.

hack WinRAR

Ngay sau khi các chi tiết về lỗ hổng và bản PoC thực thi mã được công khai, những kẻ tấn công đã bắt đầu khai thác lỗ hổng trong chiến dịch email malspam nhằm cài đặt mã độc lên máy tính của người dùng chạy phiên bản phần mềm chứa bug. Hiện đã xác định được hơn 100 cuộc tấn công trong tuần đầu tiên kể từ khi lỗ hổng được tiết lộ công khai, hầu hết người dùng bị tấn công là ở Mỹ.

Một chiến dịch gần đây được các nhà nghiên cứu phát hiện là một bản sao album hit của Ariana Grande, hiện mới chỉ bị phát hiện bởi 11 phần mềm diệt virus và bypass bởi 53 phần mềm diệt virus khác. Tệp RAR độc hại (Ariana_Grande-thank_u, _next (2019) _ [320] .rar) được phát hiện bởi McAfee trích xuất một danh sách các tệp MP3 vô hại vào thư mục tải xuống của nạn nhân và một tệp EXE độc hại vào thư mục Windows Startup. User Access Control (UAC) bị bypass nên người dùng sẽ không nhận được cảnh báo nào, và mã độc sẽ chạy trong lần khởi động lại tiếp theo của hệ thống.

Vì vậy, người dùng WinRAR được khuyến cáo cài đặt phiên bản mới nhất của phần mềm càng sớm càng tốt và tránh mở các tệp không rõ nguồn gốc.

Nguồn: The Hacker News

Người dùng WinRAR tiếp tục bị tấn công do thiếu chế độ tự động cập nhật
Đánh giá bài viết này