image

WinRAR-gebruikers doelwit van aanvallen met RAR-bestanden

donderdag 28 februari 2019, 11:46 door Redactie, 6 reacties

Gebruikers van de populaire archiveringssoftware WinRAR zijn het doelwit van verschillende aanvallen met kwaadaardige RAR-bestanden, waarbij onder andere afbeeldingen van schaars geklede dames worden gebruikt. De aanvallers maken misbruik van een kwetsbaarheid in het programma waardoor ze kwaadaardige code in de Startup-map van Windows kunnen plaatsen. Deze code wordt bij een herstart van het systeem uitgevoerd.

Het probleem in WinRAR werd veroorzaakt door een DLL-library voor het uitpakken van ACE-bestanden. ACE is net als ZIP en RAR een archiefformaat. De library in kwestie was al 14 jaar niet meer bijgewerkt en bevatte verschillende kwetsbaarheden. Aangezien de gebruikte DLL-library al sinds 2005 niet meer wordt ondersteund en het WinRAR-team geen toegang tot de broncode heeft werd besloten om de ondersteuning van ACE uit veiligheidsoverwegingen in WinRAR 5.70 en nieuwer te stoppen.

Ondanks de beschikbaarheid van een beveiligingsupdate maken aanvallers inmiddels gebruik van de kwetsbaarheid. Zo heeft securitybedrijf 360 verschillende aanvallen gezien waarbij gebruikers worden verleid om een kwaadaardig RAR-bestand te openen. Het gaat onder andere om archiefbestanden met afbeeldingen van schaars geklede dames, vacatures en pdf-documenten over wetgeving. De aanvallen zijn onder andere gericht tegen gebruikers in Oekraïne en het Midden-Oosten.

Zodra gebruikers het RAR-bestand uitpakken wordt de kwaadaardige code in de Startup-map geplaatst, die vervolgens aanvullende malware downloadt waarmee aanvallers volledige controle over het systeem krijgen. WinRAR-gebruikers krijgen het advies om te updaten naar versie 5.70. Wanneer dit niet mogelijk is wordt aangeraden om het bestand UNACEV2.DLL van het systeem te verwijderen.

Volgens de ontwikkelaars van WinRAR wordt het programma door meer dan 500 miljoen mensen wereldwijd gebruikt. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat laat zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is.

Image

Reacties (6)
28-02-2019, 12:23 door Anoniem
En hier zie je dus een zwakte in Windows. Er kan kwaadaardige code zonder problemen in een startup map geplaatst worden, de code heeft automatisch execute rechten en kan zichzelf zonder meer opstarten.
En zo zorgt een kwetsbaarheid in WinRar voor problemen in Windows. Dit probleem zie je dan niet terug als Windows lek.

En nu gaat het over Windows systemen van gebruikers die geen kennis van pc beheer hebben en dus geen gescheiden gebruikers accounts met beperkte rechten hebben.
28-02-2019, 14:21 door Anoniem
Op het plaatje is te zien dat het een .ace bestand is, die standaard door WinRAR wordt geopend. Titel is dus misleidend.
Verder heb ik op een andere site gelezen dat je voor het kopieren wel een UAC popup krijgt.
28-02-2019, 20:18 door Anoniem
Door Anoniem: Op het plaatje is te zien dat het een .ace bestand is, die standaard door WinRAR wordt geopend. Titel is dus misleidend.
Verder heb ik op een andere site gelezen dat je voor het kopieren wel een UAC popup krijgt.
Als je iets verder had gekeken op de link van de Redactie, dan had je gezien dat het allemaal .rar bestanden zijn. Ook de md5 hashes verwijzen allemaal naar .rar bestanden. Dus geen misleidende titel, alleen een anoniem die niet weet waar die het over heeft...
28-02-2019, 22:23 door Anoniem
Door Anoniem:
Door Anoniem: Op het plaatje is te zien dat het een .ace bestand is, die standaard door WinRAR wordt geopend. Titel is dus misleidend.
Verder heb ik op een andere site gelezen dat je voor het kopieren wel een UAC popup krijgt.
Als je iets verder had gekeken op de link van de Redactie, dan had je gezien dat het allemaal .rar bestanden zijn. Ook de md5 hashes verwijzen allemaal naar .rar bestanden. Dus geen misleidende titel, alleen een anoniem die niet weet waar die het over heeft...

Het gaat om ACE bestanden (met .ace extensie) die met WinRAR kunnen worden geopend. Het is irrelevant of het kwaadaardige ACE bestand in een RAR bestand zit. Het had net zo goed een ZIP, ARJ of ACE bestand kunnen zijn.
01-03-2019, 09:23 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Op het plaatje is te zien dat het een .ace bestand is, die standaard door WinRAR wordt geopend. Titel is dus misleidend.
Verder heb ik op een andere site gelezen dat je voor het kopieren wel een UAC popup krijgt.
Als je iets verder had gekeken op de link van de Redactie, dan had je gezien dat het allemaal .rar bestanden zijn. Ook de md5 hashes verwijzen allemaal naar .rar bestanden. Dus geen misleidende titel, alleen een anoniem die niet weet waar die het over heeft...

Het gaat om ACE bestanden (met .ace extensie) die met WinRAR kunnen worden geopend. Het is irrelevant of het kwaadaardige ACE bestand in een RAR bestand zit. Het had net zo goed een ZIP, ARJ of ACE bestand kunnen zijn.

Is het zo moeilijk om te lezen?

360 Threat Intelligence Center investigated some representative samples and came up with related analysis in the below.

File Name 10802201010???.rar
File Name 111.rar
File Name test.rar
File Name JobDetail.rar
File Name ???? ?????????? ??? ???????? ? IQ-???????.rar

https://ti.360.net/blog/articles/upgrades-in-winrar-exploit-with-social-engineering-and-encryption/
04-03-2019, 05:21 door Eric-Jan H te D
Door 28-02-2019, 14:21 Anoniem: Op het plaatje is te zien dat het een .ace bestand is, die standaard door WinRAR wordt geopend. Titel is dus misleidend.
Verder heb ik op een andere site gelezen dat je voor het kopieren wel een UAC popup krijgt.

Voor zover ik weet kijkt WinRar naar het zogenaamde "Magic number" (een soort file header) om te kijken wat het echte type van het bestand is. Dus ongeacht of de naam van het bestand op .rar .ace of .pietjepuk eindigt, als er in de eerste 1024 sectoren de text "**ACE**" voorkomt en geen "andere magic numbers" eerder dan behandelt WinRar het bestand als een ACE bestand.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.