Перейти к содержанию

Архиваторы.


Peter15

Рекомендуемые сообщения

 

 


библиотека всё равно есть.

Не знаю, откуда вы скачивали, у меня нет.


 

 


папку "автозагрузка"

А что, из этой папки разве автоматом тоже могут запускаться программы?

Ссылка на комментарий
Поделиться на другие сайты

 

 


да -

ничё себе... Вот это уязвимость... Так вообще и без винрара туда можно что угодно напихать.


 

 

К Windows 7/Server 2008 (R2) это тоже относится?

Ссылка на комментарий
Поделиться на другие сайты

правами администратора.

А-а-а, да, так получается, на видео ещё эксплуатируется уязвимость Windows,  а не только Winrar'а (раз UAC не срабатывает)? А может, UAC и не должен срабатывать на это...Интересно, получилось бы это сделать из ограниченной учётки (с выключенным UAC)...

Изменено пользователем Peter15
Ссылка на комментарий
Поделиться на другие сайты

 

Версия 5.61.

Нужно качать бету, она выше по списку (5.70).

 

Я бету видел. Но стараюсь устанавливать то, что считается стабильной версией. Я всего-навсего написал, что даже если не выбирать поддержку архива - всё равно библиотека устанавливается.

Ссылка на комментарий
Поделиться на другие сайты

 

если не выбирать поддержку архива

Так в бете вообще убрали пункт выбора поддержки этих архивов.

 

Про это я тоже прочитал. Мне неинтересны беты. Так яснее ?

  • Не согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Злоумышленники эксплуатируют уязвимость в WinRAR для установки бэкдора:

 

Специалисты заметили первую вредоносную кампанию, использующую данную проблему для внедрения вредоносного ПО.

Не прошло и недели с момента обнаружения уязвимости в популярном архиваторе WinRAR, как злоумышленники уже взяли ее на вооружение. Специалисты Quihoo 360 заметили первую вредоносную кампанию, использующую данную проблему для внедрения вредоносного ПО на компьютеры пользователей.

Напомним, речь идет об уязвимости обхода каталога во включенной в состав WinRAR библиотеке UNACEV2.DLL, используемой для распаковки файлов в формате ACE. Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем. Таким образом они могут поместить вредоносный код в папку автозагрузки Windows, который будет автоматически выполняться при каждой загрузке системы.

Специалисты обнаружили электронную рассылку, распространяющую RAR архив, который при распаковке устанавливает на компьютер инструмент Cobalt Strike Beacon, применяемый злоумышленниками для получения удаленного доступа к компьютеру.

Как показал анализ, проведенный экспертами ресурса BleepingComputer, при распаковке вредоносный архив извлекает файлы в папку автозагрузки Windows. Если на устройстве включена функция контроля учетных записей пользователей (User Account Control, UAC), WinRAR отобразит сообщение об ошибке, однако в случае, если UAC отключен или архиватор работает с правами администратора, вредоносные файлы будут извлечены в C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe и при следующей загрузке системы выполнится исполняемый файл CMSTray.exe.

При запуске CMSTray.exe копируется в папку %Temp%\wbssrv.exe, а затем выполняется файл wbssrv.exe. Последний подключается к http://138.204.171.108 и загружает различные файлы, в том числе инструмент Cobalt Strike Beacon. После загрузки вредоносной DLL атакующие получат возможность удаленно подключаться к компьютеру, выполнять команды и инфицировать другие ПК в сети.

На минувшей неделе разработчики WinRAR выпустили исправленную версию WinRAR 5.70 Beta 1, в которой удалена библиотека UNACEV2.DLL, а вместе с ней поддержка распаковки файлов в формате ACE. Пользователям рекомендуется обновиться до новой версии WinRAR как можно скорее. Если по каким-либо причинам это невозможно, владельцы ПК могут воспользоваться сторонним патчем для всех 32- и 64-разрядных версий WinRAR, использующих версию UNACEV2.DLL от 2005 года, который сохраняет возможность распаковки файлов в формате ACE.

Подробнее: https://www.securitylab.ru/news/498108.php

Специалисты заметили первую вредоносную кампанию, использующую данную проблему для внедрения вредоносного ПО.

Не прошло и недели с момента обнаружения уязвимости в популярном архиваторе WinRAR, как злоумышленники уже взяли ее на вооружение. Специалисты Quihoo 360 заметили первую вредоносную кампанию, использующую данную проблему для внедрения вредоносного ПО на компьютеры пользователей.

Напомним, речь идет об уязвимости обхода каталога во включенной в состав WinRAR библиотеке UNACEV2.DLL, используемой для распаковки файлов в формате ACE. Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем. Таким образом они могут поместить вредоносный код в папку автозагрузки Windows, который будет автоматически выполняться при каждой загрузке системы.

Специалисты обнаружили электронную рассылку, распространяющую RAR архив, который при распаковке устанавливает на компьютер инструмент Cobalt Strike Beacon, применяемый злоумышленниками для получения удаленного доступа к компьютеру.

Как показал анализ, проведенный экспертами ресурса BleepingComputer, при распаковке вредоносный архив извлекает файлы в папку автозагрузки Windows. Если на устройстве включена функция контроля учетных записей пользователей (User Account Control, UAC), WinRAR отобразит сообщение об ошибке, однако в случае, если UAC отключен или архиватор работает с правами администратора, вредоносные файлы будут извлечены в C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe и при следующей загрузке системы выполнится исполняемый файл CMSTray.exe.

При запуске CMSTray.exe копируется в папку %Temp%\wbssrv.exe, а затем выполняется файл wbssrv.exe. Последний подключается к http://138.204.171.108 и загружает различные файлы, в том числе инструмент Cobalt Strike Beacon. После загрузки вредоносной DLL атакующие получат возможность удаленно подключаться к компьютеру, выполнять команды и инфицировать другие ПК в сети.

На минувшей неделе разработчики WinRAR выпустили исправленную версию WinRAR 5.70 Beta 1, в которой удалена библиотека UNACEV2.DLL, а вместе с ней поддержка распаковки файлов в формате ACE. Пользователям рекомендуется обновиться до новой версии WinRAR как можно скорее. Если по каким-либо причинам это невозможно, владельцы ПК могут воспользоваться сторонним патчем для всех 32- и 64-разрядных версий WinRAR, использующих версию UNACEV2.DLL от 2005 года, который сохраняет возможность распаковки файлов в формате ACE.

Подробнее: https://www.securitylab.ru/news/498108.php

Специалисты заметили первую вредоносную кампанию, использующую данную проблему для внедрения вредоносного ПО.

Не прошло и недели с момента обнаружения уязвимости в популярном архиваторе WinRAR, как злоумышленники уже взяли ее на вооружение. Специалисты Quihoo 360 заметили первую вредоносную кампанию, использующую данную проблему для внедрения вредоносного ПО на компьютеры пользователей.

Напомним, речь идет об уязвимости обхода каталога во включенной в состав WinRAR библиотеке UNACEV2.DLL, используемой для распаковки файлов в формате ACE. Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем. Таким образом они могут поместить вредоносный код в папку автозагрузки Windows, который будет автоматически выполняться при каждой загрузке системы.

Специалисты обнаружили электронную рассылку, распространяющую RAR архив, который при распаковке устанавливает на компьютер инструмент Cobalt Strike Beacon, применяемый злоумышленниками для получения удаленного доступа к компьютеру.

Как показал анализ, проведенный экспертами ресурса BleepingComputer, при распаковке вредоносный архив извлекает файлы в папку автозагрузки Windows. Если на устройстве включена функция контроля учетных записей пользователей (User Account Control, UAC), WinRAR отобразит сообщение об ошибке, однако в случае, если UAC отключен или архиватор работает с правами администратора, вредоносные файлы будут извлечены в C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe и при следующей загрузке системы выполнится исполняемый файл CMSTray.exe.

При запуске CMSTray.exe копируется в папку %Temp%\wbssrv.exe, а затем выполняется файл wbssrv.exe. Последний подключается к http://138.204.171.108и загружает различные файлы, в том числе инструмент Cobalt Strike Beacon. После загрузки вредоносной DLL атакующие получат возможность удаленно подключаться к компьютеру, выполнять команды и инфицировать другие ПК в сети.

На минувшей неделе разработчики WinRAR выпустили исправленную версию WinRAR 5.70 Beta 1, в которой удалена библиотека UNACEV2.DLL, а вместе с ней поддержка распаковки файлов в формате ACE. Пользователям рекомендуется обновиться до новой версии WinRAR как можно скорее. Если по каким-либо причинам это невозможно, владельцы ПК могут воспользоваться сторонним патчем для всех 32- и 64-разрядных версий WinRAR, использующих версию UNACEV2.DLL от 2005 года, который сохраняет возможность распаковки файлов в формате ACE.

Источник.

 

Сторонний микропатч для RCE-уязвимости в WinRAR сохраняет поддержку ACE:

Патч предотвращает распаковку вредоносных архивов ACE.

Несколько дней назад SecurityLab писал о критической уязвимости в популярном архиваторе WinRAR для Windows, затрагивающей все версии инструмента, выпущенные за последние 19 лет. Проблема связана с использованием устаревшей сторонней библиотеки UNACEV2.DLL и позволяет выполнить код на целевой системе.

Для успешной атаки злоумышленнику потребуется всего лишь убедить жертву распаковать вредоносный ACE архив с помощью WinRAR. Разработчики архиватора уже выпустили исправленную версию WinRAR 5.70 Beta 1 , в которой удалена библиотека UNACEV2.DLL и, соответственно, поддержка распаковки файлов в формате ACE.

В этой связи специалисты компании ACROS Security выпустили микропатч для всех 32- и 64-разрядных версий WinRAR, использующих версию UNACEV2.DLL от 2005 года, с сохранением возможности распаковки файлов в формате ACE. По словам разработчиков, патч также совместим с прочими продуктами, в которых реализована данная версия DLL. После установки патча на компьютере в случае распаковки вредоносного архива в формате ACE, на экране отобразится ряд предупреждений, а содержащиеся в нем файлы не будут извлечены. Для установки патча пользователям потребуется загрузить бесплатное приложение 0patch Agent и зарегистрировать его на устройстве.

0patch – платформа для устранения уязвимостей «нулевого дня», неисправленных проблем безопасности, в том числе в неподдерживаемых программах, устаревших операционных системах и программном обеспечении сторонних разработчиков.

 

Ссылка на комментарий
Поделиться на другие сайты

Из Телеграм-канала.

 

Сообщение 1:

Вчера в дайджесте я упоминал (https://alexmak.net/2019/02/25/cybersecus-links-58/) про обнаруженную 19-летнюю уязвимость в WinRAR. Сегодня пришло письмо от читателя, который разобрался чуть более детально в информации об уязвимости, и, мне кажется, это может быть интересно другим читателям ресурса.
-------

Если вам интересно: я тестировал эту уязвимость сразу, как только услышал о ней. Я внимательно прочитал оригинальную статью, и отделил зёрна от плевел:

1) Несмотря на то, что методом атаки на архиватор был fuzzing, в сущности уязвимость представляет из себя просто распаковку файла по абсолютному пути. Это не связано с memory-related багами архиватора (то есть это НЕ переполнение буфера памяти, НЕ исполнение произвольного кода в контекста процесса), которые обычно обнаруживаются фаззингом.
2) Для фактической эксплуатации уязвимости, нужно создать ACE архив стандартным способом, а потом просто бинарно изменить в нём прописанный путь к файлу. Чтобы после этого архив воспринимался как корректный, нужно пересчитать контрольную CRC сумму в заголовках. Автор статьи не показал прямой код пересчёта, но следуя комментариям в исходниках Python-библиотеки по ссылке – я разобрался и сам, подбором найдя подходящую инициализацию crc32, которая генерирует валидные хеши. В итоге, моя собственная программа для восстановления контрольной суммы оказалась весьма тривиальной.
3) Сущность атаки как раз в выборе пути к payload-файлу в архиве. На самом деле я бы с большой натяжкой стал называть эту уязвимость RCE (то есть «удалённое выполнение кода»), потому что всё что произойдёт при успешной атаке – WinRar распакует файл не в указанную папку, а по заранее заданному в архиве абсолютному пути. И _если_ этот файл попадёт в Автозагрузку или ещё куда-то, где сможет быть запущен системой – то тогда, и только тогда это приведёт к выполнению произвольного кода.
4) Автор статьи предлагает также способ с «относительным» путём, начинающимся от Рабочего стола или Домашней папки пользователя, чтобы было проще попасть в директорию локальной автозагрузки. Но это сработает, _только_ если архив будет распакован через контекстное меню, да и вообще – начальная «текущая директория» WinRar может отличаться на разных системах и версиях.
5) Чтобы гарантированно попасть в нужную папку, автор статьи предлагает поместить в архив сразу несколько файлов, целящихся на разные локации, чуть ли не до брутфорса. Но во-первых, совершенно «общий» payload в таком случае будет чрезмерно велик (например, Windows не всегда установлена на диск C:\; полный путь к автозагрузке для XP и для Win7 будет абсолютно разным; ещё можно пытаться угадать имя пользователя – «User/Administrator/Администратор/» и дополнительно бить по «All Users»), потому что по каждому пути придётся поместить новую копию вредоносного файла. А во-вторых, распаковка такого архива буквально заспамит систему (например, создаст вам кучу лишних папок наподобие «\Documents and Settings\» где попало), и с куда большей вероятностью подобная атака не останется незамеченной.
6) Да, в архив кроме вируса как такового, можно поместить и «нормальные» файлы для отвода глаз, которые распакуются куда ожидает жертва. Но если архив будет ОТКРЫТ, а не распакован – то WinRar счастливо покажет в списке файлов архива очень подозрительные вхождения наподобие «C:», «C:\», «Documents and Settings», «WINDOWS», «..\», и так далее. И жертва может сразу же заподозрить неладное. Причём при «открытии» архива без его полной распаковки – вредоносный файл так никуда и не вырвется.

 

сообщение 2:

7) Мои собственные эксперименты показали, что на разных версиях WinRar, ошибку обработки пути нужно обходить по-разному: в старых версиях достаточно просто прописать абсолютный путь («C:\Users\...»), а более новых версиях – как в инструкции статьи, «C:\C:\Users\...» (количество и расположение \ тоже может варьироваться). Поэтому, для общей атаки нужно предусмотреть и эти различия. Причём если WinRar получит неподходящий ему путь – информация об этом обязательно появится на экране («Диагностические сообщения»), где будет палиться ПОЛНЫЙ путь, по которому попыталась пройти атака. Тем не менее, распаковка не прерывается, и вирус всё ещё может попасть в цель (но однозначно вызовет подозрения).
8 ) Можно перезаписать любой файл, если попасть в путь к нему, например C:\WINDOWS\explorer.exe (плюс, его же копию в system32\dllcache). Но для системных файлов это сработает лишь когда у пользователя есть права на запись в системные папки (то есть, он под Администратором). Win>=7 скорее всего заблокирует доступ через UAC (если не сам WinRar почему-то запущен с повышенными привилегиями), а вот для XP успешность более вероятна (хотя те, кто ежедневно на XP с админ-правами – явно не «простые пользователи», и на распаковку подставного архива так просто не попадутся).
9) Попытка прямой записи в Автозагрузку или любую системную папку – может вызвать предупреждение антивируса или какой-либо другой программы, обеспечивающей безопасность системы (например, AnVir Task Manager). При этом главная фишка этого метода – скрытность – неизбежно нарушается. А тех, у кого нет подобных систем защиты – можно проще прошибить через «.rar.exe» а-ля троянский self-extracting и без всяких там RCE. Кстати, если мы распакуем чистейший вирус – то антивирус его поймает сразу же, как тот распакуется в целевую папку (а худшее, что может быть – перезапись пустышками каких-то важных программ или документов, но опять же – надо точно знать путь).
10) Адекватнее всего атака производится на «частную» систему, которая заранее изучена: известна точная версия WinRar в ней, точная Windows и её системная локаль (потому что успехов вам распаковывать в папку «\Startup\», если на самом деле она зовётся «\Автозагрузка\», и это не desktop.ini, а реальный путь). Известно, каким правами обладает учётная запись пользователя, какой установлен антивирус, и вообще у нас есть соображения, под что именно будем маскировать распакующийся троян. В противном случае даже частично слепая атака в лучшем для злоумышленника случае просто не приведёт к успеху, а в худшем – окажется немедленно раскрыта жертвой.

Мой вердикт: уязвимость не затронет «простых пользователей», под которых специально не затачивается конкретная атака. Напороться на удачно подошедший именно к вашей системе подменённый архив (и не заметить его) – куда менее вероятно, чем случайно подцепить вирус попроще (какой-нибудь там «.scr» с иконкой папки) по неосторожности.
Все новостные ленты раздувают это как «баг 19-летней давности, затрагивающий миллионы людей», но эффективно использовать его просто невозможно (например, в отличие от уязвимости в windows, которую использовал WannaCry; а она ведь была там тоже очень давно).

Более того, для защиты вам даже не обязательно обновлять WinRar: просто найдите и переименуйте все файлы «UNACEV2.DLL» на компьютере (эту библиотеку использует не только WinRar, но и, например, Total Commander), тогда никакие .ace архивы у вас не смогут распаковаться (тем более что этот формат, на мой взгляд, всё равно совершенно непопулярный в наши дни)

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • аноним99
      От аноним99
      Продолжение тем
      Вкратце: когда я отправляю архивы формата 7z, почта определяет их как вирус и не дает скачать. Если отправлять то же самое, но, например, в формате rar - обнаружения не проходит.
      Также, при попытке перенсти архив через флешку на другой ПК дефендер находит "угрозу". В прошлых двух темах, консультант пришел к выводу, что угроза НЕ вирусного характера, что подтверждается проверками в разных сканерах (утилита от Др веб, от Касперского, Малвербайтс). 
×
×
  • Создать...