Licences multi-appareils (remises sur volume)

Changer de région

English Deutsch Español Français Italiano Português 日本語 汉语 漢語
Computer Security Cybergang exploite une ancienne faille WinRAR pour...

Cybergang exploite une ancienne faille WinRAR pour attaquer des clients Windows Enterprise

Par GoldSparrow en Computer Security
Se traduisent par :
Français

winrar exploit faille attaque Il y a 14 mois, les chercheurs de CheckPoint ont découvert une bibliothèque de liens dynamiques (DLL) vulnérable utilisée par le célèbre outil de compression WinRar. La dll a laissé les fichiers malveillants archivés à aide du format de compression .ace pour entrer dans la machine cible lors de extraction WinRAR. La faille, qui exposait immédiatement un demi-milliard utilisateurs de WinRAR à des attaques potentielles, était si grave que éditeur du programme a publié une version mise à jour du logiciel qui ne prend plus en charge extraction de fichier .ace. Cependant, ils n’ont jamais publié de correctif pour la version 5.61 (et les versions antérieures) alors en vigueur, ce qui impliquait qu’un grand nombre d’utilisateurs de WinRAR étaient toujours à risque.

Quelques faits sur les exploits de cybergang:

  • Un gang de cybercriminels connu sous le nom de MuddyWater a développé exploit.
  • Les dernières victimes sont des clients Enterprise Microsoft fournissant des services de communication par satellite et par satellite.
  • La menace est arrivée sous la forme une collection de fichiers archive .ace compromis, capables de semer des logiciels malveillants sur un PC après extraction de WinRar.

Les dernières victimes de la faille WinRAR

À en juger par la récente attaque contre les entreprises clientes Microsoft Windows fournissant des services de communication par satellite et par satellite, cet exploit demeure très actif. En mars 2019, la division ATP (Office 365 Protection contre les menaces avancées) de Microsoft a détecté une collection de fichiers .ace malveillants sur de nombreux ordinateurs Windows 10 Entreprise appartenant à des clients entreprise. Il s’est avéré que les données en question exploitaient la vulnérabilité CVE-2018-20250, c’est-à-dire la vulnérabilité associée au fichier .dll compromis, responsable de l’extraction des archives .ace de toutes les versions de WinRAR, barre 5.70 (la version actuelle). Bien que WinRAR ait publié la v5.70 il y a plus un an, de nombreux utilisateurs doivent encore passer à la nouvelle version .ace-free.

Le premier suspect - un groupe APT bien connu

Selon Microsoft, est MuddyWater, une équipe APT (Advanced Persistent Threat), qui a lancé attaque de mars 2019. Les pirates informatiques de MuddyWater sont réputés pour envoi e-mails de spear phishing à des entités publiques et à des organisations commerciales aux États-Unis, en Europe et au Moyen-Orient. Jusqu à présent, la bande de MuddyWater a mené des attaques en Jordanie, en Turquie, en Arabie Saoudite, en Azerbaïdjan, en Irak, au Pakistan et en Afghanistan, pour en citer que quelques-uns. Chaque intervention a mis en vedette un programme malveillant intégré dans la pièce jointe un courrier électronique indésirable. L’ouverture du fichier joint a entraîné une demande d’activation des macros alors que ces dernières permettaient l’exécution de code à distance.

Cette fois, est un peu différent, bien que

Il semble que la nouvelle campagne présente une approche légèrement modifiée. Au lieu de créer un fichier Word contenant des logiciels malveillants, les escrocs joignent un document sans macro. Ce dernier contient une URL OneDrive qui, une fois ouverte, supprime une archive ace contenant un autre fichier Word. Contrairement à la pièce jointe origine, le nouveau document regorge de macros malveillantes. infection réussit si le destinataire sans méfiance:

  1. Active les macros lorsque vous y êtes invité.
  2. Accepte de redémarrer le PC pour réparer un "fichier .dll manquant".

Faire le premier apporte la charge utile du logiciel malveillant - un fichier appelé dropbox.exe - dans le dossier de démarrage de Windows. Faire ce dernier charge le logiciel malveillant lors du démarrage du système, donnant aux attaquants du serveur C & C un accès à distance à ordinateur correspondant.

Le grand nombre utilisateurs WinRAR dans le monde pose des difficultés pour une transition rapide vers la version actuelle 5.70. Malheureusement, il agit toujours de la seule version WinRAR en circulation immunisée contre la vulnérabilité CVE-2018-20250.

Chargement...