Cybergang exploite une ancienne faille WinRAR pour attaquer des clients Windows Enterprise

winrar exploit faille attaque Il y a 14 mois, les chercheurs de CheckPoint ont découvert une bibliothèque de liens dynamiques (DLL) vulnérable utilisée par le célèbre outil de compression WinRar. La dll a laissé les fichiers malveillants archivés à aide du format de compression .ace pour entrer dans la machine cible lors de extraction WinRAR. La faille, qui exposait immédiatement un demi-milliard utilisateurs de WinRAR à des attaques potentielles, était si grave que éditeur du programme a publié une version mise à jour du logiciel qui ne prend plus en charge extraction de fichier .ace. Cependant, ils n’ont jamais publié de correctif pour la version 5.61 (et les versions antérieures) alors en vigueur, ce qui impliquait qu’un grand nombre d’utilisateurs de WinRAR étaient toujours à risque.

Quelques faits sur les exploits de cybergang:

  • Un gang de cybercriminels connu sous le nom de MuddyWater a développé exploit.
  • Les dernières victimes sont des clients Enterprise Microsoft fournissant des services de communication par satellite et par satellite.
  • La menace est arrivée sous la forme une collection de fichiers archive .ace compromis, capables de semer des logiciels malveillants sur un PC après extraction de WinRar.

Les dernières victimes de la faille WinRAR

À en juger par la récente attaque contre les entreprises clientes Microsoft Windows fournissant des services de communication par satellite et par satellite, cet exploit demeure très actif. En mars 2019, la division ATP (Office 365 Protection contre les menaces avancées) de Microsoft a détecté une collection de fichiers .ace malveillants sur de nombreux ordinateurs Windows 10 Entreprise appartenant à des clients entreprise. Il s’est avéré que les données en question exploitaient la vulnérabilité CVE-2018-20250, c’est-à-dire la vulnérabilité associée au fichier .dll compromis, responsable de l’extraction des archives .ace de toutes les versions de WinRAR, barre 5.70 (la version actuelle). Bien que WinRAR ait publié la v5.70 il y a plus un an, de nombreux utilisateurs doivent encore passer à la nouvelle version .ace-free.

Suggested for You

#1 Reason Why You Need to Protect Your PC from Malware

The Web can be dangerous. It is essential to have an anti-malware software to help protect against the latest malware. Are you're infected with malware?

Get SpyHunter Today!

Le premier suspect - un groupe APT bien connu

Selon Microsoft, est MuddyWater, une équipe APT (Advanced Persistent Threat), qui a lancé attaque de mars 2019. Les pirates informatiques de MuddyWater sont réputés pour envoi e-mails de spear phishing à des entités publiques et à des organisations commerciales aux États-Unis, en Europe et au Moyen-Orient. Jusqu à présent, la bande de MuddyWater a mené des attaques en Jordanie, en Turquie, en Arabie Saoudite, en Azerbaïdjan, en Irak, au Pakistan et en Afghanistan, pour en citer que quelques-uns. Chaque intervention a mis en vedette un programme malveillant intégré dans la pièce jointe un courrier électronique indésirable. L’ouverture du fichier joint a entraîné une demande d’activation des macros alors que ces dernières permettaient l’exécution de code à distance.

Cette fois, est un peu différent, bien que

Il semble que la nouvelle campagne présente une approche légèrement modifiée. Au lieu de créer un fichier Word contenant des logiciels malveillants, les escrocs joignent un document sans macro. Ce dernier contient une URL OneDrive qui, une fois ouverte, supprime une archive ace contenant un autre fichier Word. Contrairement à la pièce jointe origine, le nouveau document regorge de macros malveillantes. infection réussit si le destinataire sans méfiance:

  1. Active les macros lorsque vous y êtes invité.
  2. Accepte de redémarrer le PC pour réparer un "fichier .dll manquant".

Faire le premier apporte la charge utile du logiciel malveillant - un fichier appelé dropbox.exe - dans le dossier de démarrage de Windows. Faire ce dernier charge le logiciel malveillant lors du démarrage du système, donnant aux attaquants du serveur C & C un accès à distance à ordinateur correspondant.

Le grand nombre utilisateurs WinRAR dans le monde pose des difficultés pour une transition rapide vers la version actuelle 5.70. Malheureusement, il agit toujours de la seule version WinRAR en circulation immunisée contre la vulnérabilité CVE-2018-20250.

Laisser une Réponse

Veuillez ne pas utiliser ce système de commentaires pour des questions de soutien ou de facturation. Pour les demandes d'assistance technique de SpyHunter, veuillez contacter directement notre équipe d'assistance technique en ouvrant un ticket d'assistance via votre SpyHunter. Pour des problèmes de facturation, veuillez consulter notre page «Questions de facturation ou problèmes?". Pour des renseignements généraux (plaintes, juridique, presse, marketing, droit d’auteur), visitez notre page «Questions et commentaires».

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Veuillez laisser ces deux champs comme il suit:
Ce qui est 12 + 12 ?