Nieuws
image

'WinRAR-lek actief gebruikt bij malware-aanvallen'

vrijdag 28 maart 2014, 12:46 door Redactie, 4 reacties

Een lek in WinRAR waardoor het bestandstype van bestanden die met ZIP zijn ingepakt is te vervalsen, wordt actief gebruikt om organisaties aan te vallen. Dat beweert beveiligingsbedrijf IntelCrawler. Deze week waarschuwde de Israëlische onderzoeker Danor Cohen voor de kwetsbaarheid.

Het ZIP-formaat bevat een veld genaamd 'filename' dat wordt gebruikt voor de bestandsnaam van een uit te pakken bestand in een ZIP-archief. WinRAR voegt bij het maken van een ZIP-archief een tweede veld 'filename' toe en gebruikt dit veld voor de weergave van de bestandsnaam in de WinRAR-gebruikersinterface. Een aanvaller kan het tweede 'filename' veld aanpassen om een bestand in de WinRAR-gebruikersinterface weer te geven, terwijl het in werkelijkheid om een ander bestand gaat.

Volgens Cohen was het probleem in WinRAR 4.20 en mogelijk andere versies aanwezig. Het Nationaal Cyber Security Centrum liet weten dat de kwetsbaarheid in versie 5.01 was opgelost. IntelCrawler claimt dat alle versies kwetsbaar zijn, waaronder ook versie 5.10, wat de meest recente versie is.

Aanvallen

Het beveiligingsbedrijf zou inmiddels verschillende berichten hebben ontdekt waarbij bedrijven, organisaties en overheidsinstellingen het doelwit waren. Het zou onder andere om luchtvaart- en Fortune 500-bedrijven gaan. De aanvallers versturen berichten die onder andere van de Raad van Europa afkomstig lijken en een met een wachtwoord beveiligde ZIP-bijlage bevatten.

De inhoud van het ZIP-bestand lijkt een afbeelding te zijn, maar is in werkelijkheid een uitvoerbaar bestand dat malware op de computer installeert. Naast de Raad van Europa worden ook Gmail, Hotmail en gehackte e-mailaccounts gebruikt om de kwaadaardige bijlagen te versturen. Als een doelwit het ingepakte bestand opent wordt er een Remote Administration Tool (RAT) geïnstalleerd en heeft de aanvaller volledige controle over de computer.

Image

Reacties (4)
28-03-2014, 13:18 door Anoniem
Mismatch tussen namen in beide tabellen = zeer verdacht = blokkeren.
28-03-2014, 14:16 door Anoniem
Jpg en Zip

Een jpg zippen heeft helemaal geen zin als het gaat om de bestandsgrootte.
Het jpg formaat is namelijk al een slim gecomprimeerde afbeelding, daar kan nog maar weinig van de bestandsgrootte af.

bijvoorbeeld :
Image.jpg 512 kb
Image.jpg.zip 508 kb

Voor een .tiff file zou dat wel nog kunnen uitmaken.
bijvoorbeeld :
Image.tiff 4,2 mb
Image.tiff.zip 744 kb

In het geval van meerdere afbeeldingen (wegens max aantal toegestane bijlagen bijvoorbeeld), of een hele file folder,
kàn het handig zijn zip te gebruiken.
Niet zozeer omdat de bestandsgrootte zoveel kleiner is maar omdat het één enkel bestand oplevert dat makkelijker te verzenden is als mailbijlage.

Voor een fax in de vorm van één file in jpg formaat is gebruik van zip-verpakking dus helemaal niet nodig.
Als je een simpel (te verwachten klein) document in de vorm van een zip krijgt aangeboden is dat zeer waarschijnlijk onzin of misleiding, het is gewoon niet nodig.

Speel de vraag maar weer terug naar de verzender, leg maar uit waarom je de mailbijlage niet accepteert en vraag desnoods daarna om een normaal document.
28-03-2014, 14:28 door Anoniem
Normale procedure zou toch moeten zijn, dat je een bestand eerst uitpakt en dan opent? Een goede virusscanner controleert tijdens het schrijven of er iets is en zou het moeten vinden. Bovendien, wanneer in WINRAR de naam anders is, zou dit op moeten vallen, doordat je het verwachte bestand niet kunt vinden, alleen een onbekend bestand.
28-03-2014, 14:54 door EKTB - Bijgewerkt: 28-03-2014, 14:56
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search