image

WinRAR-gebruikers doelwit van meerdere aanvallen

woensdag 27 maart 2019, 09:57 door Redactie, 10 reacties

WinRAR-gebruikers zijn de afgelopen weken het doelwit van verschillende groepen aanvallers geweest en beveiligingsbedrijf FireEye verwacht dat de aanvallen alleen maar zullen toenemen. De aanvallers maken gebruik van een lek in WinRAR waardoor er malware op het systeem kan worden geïnstalleerd.

Zodra een gebruiker met een kwetsbare WinRAR-versie een kwaadaardig ACE-bestand met een RAR-extensie opent wordt er kwaadaardige code in de Startup-map van Windows geplaatst. Hierbij wordt User Account Control (UAC) omzeild. De gebruiker krijgt dan ook geen waarschuwing te zien. De code in de Startup-up map wordt bij een herstart van het systeem automatisch uitgevoerd en infecteert de computer met malware.

Het kwaadaardige ACE-bestand maakt misbruik van een kwetsbaarheid in de populaire archiveringssoftware die in versies voor WinRAR 5.70 aanwezig is. Het betreft een lek in de library die voor het uitpakken van ACE-bestanden wordt gebruikt. FireEye meldt nu dat het aanvallen heeft gezien die tegen de Israëlische militaire industrie waren gericht. Ook doen de aanvallers zich voor als het Council on Social Work Education en de voormalige Oekraïense president Viktor Yanukovych. Bij een andere aanval werd een kwaadaardig ACE-bestand gebruikt dat zogenaamd gestolen inloggegevens en creditcarddata zou bevatten.

Via de malafide archiefbestanden proberen de aanvallers backdoors, remote administration tools (RATs) en wachtwoordstelers te installeren. "Vanwege het grote aantal WinRAR-gebruikers, het ontbreken van een automatische updatefunctie en het gemak waarmee deze kwetsbaarheid is te misbruiken, verwachten we dat meer aanvallers de komende dagen hier misbruik van zullen maken", aldus Dileep Kumar Jallepalli van FireEye. Gebruikers krijgen het advies om naar WinRAR versie 5.70 te updaten.

Image

Reacties (10)
27-03-2019, 11:06 door Anoniem
Ik had deze vraag al eerder gesteld in een vorig bericht over dit probleem, maar daar is toen niet op geantwoord, dus hierbij nog een poging:

Nu is WinRAR niet het enige programma dat .rar bestanden kan openen/uitpakken. Zelf gebruik ik TotalCommander voor alles, ook het uitpakken van ZIP- en RAR-bestanden.

Daarnaast pakken veel usenet clients gedownloade RAR-archieven direct uit.

Gebruiken die programma's dan niet ook diezelfde DLL en zijn die programma's dan vervolgens ook net zo kwetsbaar?
27-03-2019, 12:20 door Anoniem
Door Anoniem: Ik had deze vraag al eerder gesteld in een vorig bericht over dit probleem, maar daar is toen niet op geantwoord, dus hierbij nog een poging:

Nu is WinRAR niet het enige programma dat .rar bestanden kan openen/uitpakken. Zelf gebruik ik TotalCommander voor alles, ook het uitpakken van ZIP- en RAR-bestanden.

Daarnaast pakken veel usenet clients gedownloade RAR-archieven direct uit.

Gebruiken die programma's dan niet ook diezelfde DLL en zijn die programma's dan vervolgens ook net zo kwetsbaar?

Daarom is bijvoorbeeld TotalCommander ook geupdate naar versie 9.22
27-03-2019, 12:30 door Anoniem
Door Anoniem: Ik had deze vraag al eerder gesteld in een vorig bericht over dit probleem, maar daar is toen niet op geantwoord, dus hierbij nog een poging:

Nu is WinRAR niet het enige programma dat .rar bestanden kan openen/uitpakken. Zelf gebruik ik TotalCommander voor alles, ook het uitpakken van ZIP- en RAR-bestanden.

Daarnaast pakken veel usenet clients gedownloade RAR-archieven direct uit.

Gebruiken die programma's dan niet ook diezelfde DLL en zijn die programma's dan vervolgens ook net zo kwetsbaar?

Ja, TotalCommander gebruikt de kwetsbare UNACEV2.DLL. Een gepatchte versie is beschikbaar:

https://www.totalcommander.ch/win/unacev2_fixed.zip
27-03-2019, 12:30 door Anoniem
Sommige programma's gebruiken UNACEV2.DLL. Om te checken of het ook om de software gaat die jij gebruikt moet je op je systeem naar UNACEV2.DLL zoeken.
27-03-2019, 13:04 door Anoniem
elke software die gebruik maakte van deze library unace*.dll is vatbaar en dus niet alleen winrar.
27-03-2019, 13:06 door Anoniem
De sensationele berichtgeving gericht op winrar is dan ook totaal onterecht. het gaat dan ook niet om zip/rar en bestanden.
maar ace. ook jij maakt deze fout.

>Nu is WinRAR niet het enige programma dat .rar bestanden kan openen/uitpakken.
27-03-2019, 13:14 door Anoniem
Door Anoniem: Ik had deze vraag al eerder gesteld in een vorig bericht over dit probleem, maar daar is toen niet op geantwoord, dus hierbij nog een poging:

Nu is WinRAR niet het enige programma dat .rar bestanden kan openen/uitpakken. Zelf gebruik ik TotalCommander voor alles, ook het uitpakken van ZIP- en RAR-bestanden.

Daarnaast pakken veel usenet clients gedownloade RAR-archieven direct uit.

Gebruiken die programma's dan niet ook diezelfde DLL en zijn die programma's dan vervolgens ook net zo kwetsbaar?

Het gaat specifiek om de DLL die geleverd is door ACE om ACE archives uit te pakken. Het gaat hier dus niet om zip/rar/andere archive formaten.
27-03-2019, 13:15 door Anoniem
TotalCommander had er ook inderdaad last van (de 32-bit versie). Deze is ook snel gepatched (versie 9.22+)
Usenet client durf ik niet zo te zeggen, maar veelal zijn deze downloads .ZIP's of RAR's.
27-03-2019, 15:30 door Anoniem
Fijn om nog even een bevestiging te lezen, zo een maand na dato:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################

######################## UPDATE 1.01 #############################

Titel : Kwetsbaarheden verholpen in WinRAR
Advisory ID : NCSC-2019-0151
Versie : 1.01
Kans : high
CVE ID : CVE-2018-20250, CVE-2018-20251, CVE-2018-20252,
CVE-2018-20253
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : medium
Manipulatie van gegevens
Omzeilen van authenticatie
Toegang tot systeemgegevens
Uitgiftedatum : 20190226
Toepassing : RARLAB WinRAR
Versie(s) : < 5.70
Platform(s) :

Update
Er is Proof-of-Concept-code beschikbaar gekomen. De kansinschaling
van dit beveiligingsadvies wordt hierdoor High. De schadeinschaling
van dit beveiligingsadvies wordt na nieuwe inzichten ingeschaald op
Medium.

Beschrijving
RARLAB heeft een kwetsbaarheid verholpen in WinRAR. Een
kwaadwillende kan mogelijk met behulp van een malafide ACE-bestand
code uitvoeren onder de rechten van de applicatie.

Mogelijke oplossingen
De ontwikkelaars van WinRAR hebben updates beschikbaar gesteld om de
kwetsbaarheden te verhelpen. Voor meer informatie zie:

https://www.rarlab.com/rarnew.htm

Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.1 (Build 824)
Charset: utf-8
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=kiHO
-----END PGP SIGNATURE-----
04-04-2019, 14:18 door Anoniem
Meer informatie hier: https://research.checkpoint.com/extracting-code-execution-from-winrar/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.