Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Recente exploit in ACE-bestanden werkt momenteel alleen tegen WinRAR

donderdag 11 april 2019, 11:07 door Redactie, 6 reacties
Laatst bijgewerkt: 11-04-2019, 14:52

De afgelopen weken zijn bij verschillende aanvallen ACE-bestanden verstuurd die misbruik maken van een kwetsbaarheid in een oude library voor het ACE-compressieformaat, maar de huidige exploit werkt op het moment alleen tegen kwetsbare versies van WinRAR.

Andere programma's die dezelfde library gebruiken zijn ook kwetsbaar voor aanvallen, maar de exploit die bij de recente aanvallen is gebruikt moet per programma worden aangepast om te kunnen werken. Dat laat Christiaan Beek, lead scientist en senior principal engineer bij McAfee, aan Security.nl weten. Eind februari onthulden onderzoekers van Check Point dat ze een beveiligingslek in WinRAR hadden ontdekt.

De kwetsbaarheid bevond zich in de DLL-library die WinRAR gebruikte voor het uitpakken van ACE-bestanden. Wanneer er met een kwetsbare WinRAR-versie een kwaadaardig ACE-bestand wordt geopend is het voor een aanvaller mogelijk om code in de Startup-map van Windows te plaatsen. Deze code wordt vervolgens bij een herstart van het systeem uitgevoerd en kan bijvoorbeeld aanvullende malware installeren.

De library die WinRAR gebruikte, UNACEV2.DLL, wordt ook door andere programma's gebruikt, zoals Total Commander. Hoewel deze programma's dezelfde kwetsbare library gebruiken, werken de nu rondgaande exploits alleen tegen WinRAR, aldus Beek. Gisteren waarschuwde Microsoft nog dat het vorige maand gerichte aanvallen tegen organisaties in de satelliet- en communicatie-industrie heeft waargenomen waarbij het WinRAR-lek werd gebruikt.

Gebruikers werden verleid om een ACE-bestand te openen dat zogenaamd afbeeldingen leek te bevatten. In werkelijkheid wordt er een bestand genaamd "dropbox.exe" in de Startup-map geplaatst. Microsoft merkt op dat de huidige aanvallen alleen code in de Startup-map plaatsen, maar het ook mogelijk is om het bestand in een bekende SMB-map achter te laten.

Wat verder opvalt aan de aanval die Microsoft beschrijft is dat die wordt gecombineerd met verschillende Word-documenten, die onder andere een melding tonen dat de gebruiker zijn systeem moet herstarten. Op deze manier wordt de code in de Startup-map uitgevoerd. Sinds het beveiligingslek werd geopenbaard heeft McAfee naar eigen zeggen meer dan 100 unieke exploits ontdekt die van de kwetsbaarheid misbruik maken.

WinRAR behoort tot de populairste software voor de desktop, maar kent geen automatische updatefunctie. Gebruikers moeten de nieuwste versies waarin de kwetsbare ACE-library is verwijderd dan ook zelf downloaden en installeren. Uit onderzoek dat in januari verscheen bleek dat 71 procent van de WinRAR-installaties op het moment van het onderzoek niet up-to-date was.

Image

Antivirusbedrijf Avast bouwt support Windows XP verder af
WordPress-sites aangevallen via zerodaylek in Yuzo-plug-in
Reacties (6)
11-04-2019, 12:40 door Anoniem
>Aanval met ACE-bestanden werkt alleen tegen WinRAR

Tuurlijk jongens.

March 29, 2019: Total Commander 9.22a final is now available for download. This version fixes minor bugs found after the release of Total Commander 9.22. Version 9.22 mainly fixes a security issue with the UnACEv2 unpacker dll used to unpack ACE archives.
11-04-2019, 17:16 door Anoniem
Door Anoniem: >Aanval met ACE-bestanden werkt alleen tegen WinRAR

Tuurlijk jongens.

March 29, 2019: Total Commander 9.22a final is now available for download. This version fixes minor bugs found after the release of Total Commander 9.22. Version 9.22 mainly fixes a security issue with the UnACEv2 unpacker dll used to unpack ACE archives.
"Andere programma's die dezelfde library gebruiken zijn ook kwetsbaar voor aanvallen, maar de exploit die bij de recente aanvallen is gebruikt moet per programma worden aangepast om te kunnen werken."
12-04-2019, 10:55 door Wim ten Brink
Lastig is natuurlijk wel dat men vergeet de download-site te vermelden voor WinRAR. Is dat https://rarlab.com of https://www.win-rar.com? Of nog een andere site?
Probleem is dat WinRAR zo populair is, dat het ook overal te downloaden is. Eventueel inclusief extra malware, kant-en-klaar gecrackt zodat je geen licentie nodig hebt. Het gebrek aan een automatische update functie is dan ook zeker een probleem, mede omdat veel mensen deze software maar vrij weinig gebruiken en als ze het gebruiken dan is het om even snel iets in of uit te pakken. Je staat er dan ook niet bij stil dat deze software zo af en toe een update nodig heeft.
De juiste download-site is overigens https://www.rarlab.com maar https://www.win-rar.com is hun verkoopkanaal en dus zijn beide sites correct.
12-04-2019, 12:42 door Anoniem
Door Wim ten Brink: Lastig is natuurlijk wel dat men vergeet de download-site te vermelden voor WinRAR. Is dat https://rarlab.com of https://www.win-rar.com? Of nog een andere site?

Volgens mij is www.rarsoft.com de officieele website
15-04-2019, 15:37 door Anoniem
"de Dynamic-Link Library-library"

Altijd fijn als je zelf begrijpt wat je opschrijft.
15-04-2019, 16:53 door Anoniem
Door Anoniem: "de Dynamic-Link Library-library"

Altijd fijn als je zelf begrijpt wat je opschrijft.

Anders volg je eens een cursus Nederlands, misschien leer je nog iets...

Er is geen enkel bezwaar tegen het woord apk-keuring. Hoewel de k in apk inderdaad 'keuring' betekent en er voluit dus iets als 'algemene-periodieke-keuring-keuring' staat, is apk-keuring een correct Nederlands woord. Er zullen niet veel mensen zijn die het hebben over 'de ap-keuring van de auto'.

Er zijn meer samenstellingen met afkortingen waarin een element meer dan één keer voorkomt: ADSL-lijn en ISBN-nummer bijvoorbeeld.

https://onzetaal.nl/taaladvies/apk-keuring/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer

Poll: Controle thuiswerker met behulp van monitoring software:

17 reacties
Aantal stemmen: 838
Certified Secure LIVE Online training
Pleeg je handel in voorkennis als je doet alsof je voorkennis verkoopt op het dark web?
07-04-2021 door Arnoud Engelfriet

Juridische vraag: Ik las dat in de VS een meneer aangeklaagd wordt voor handel in voorkennis, omdat hij op het dark web ...

5 reacties
Lees meer
Datalek bij nieuwbouw
13-04-2021 door Anoniem

In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...

14 reacties
Lees meer
Beste manier om een wachtwoord te bewaren?
09-04-2021 door EenVraag

Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?

17 reacties
Lees meer
Datakluis als gouden kogel tegen datalekken?
15-04-2021 door Anoniem

Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter