Ontem (25), publicamos a notícia sobre a descoberta de uma vulnerabilidade crítica no WinRAR que afeta todas as versões e que permite que um atacante obtenha controle total da máquina da vítima, aproveitando-se de arquivos no formato ACE. A novidade é que outros pesquisadores detectaram o que pode ser o primeiro exploit que busca tirar proveito dessa falha crítica, que foi distribuída através de um email que incluía um arquivo RAR como anexo.
O problema identificado no WinRAR está em uma biblioteca de terceiros, chamada UNACEV2.DLL, que é usada em todas as versões do programa para descompactar arquivos no formato ACE. Como a empresa responsável por esse conhecido programa de compactação de arquivos não tinha acesso ao código-fonte, a biblioteca não era atualizada desde 2005.
A partir da descoberta deste bug na biblioteca e uma vez que não era possível repará-lo, o WinRAR lançou a versão 5.70 Beta do WinRAR na qual removia a biblioteca e, portanto, deixava de dar suportar aos arquivos ACE. Mas os cerca de 500 milhões de usuários do WinRAR que usam versões anteriores a 5.70 ainda estão expostos.
Os pesquisadores da 360 Threat Intelligence Center publicaram, por meio de sua conta no Twitter, a descoberta de um exploit que tenta implantar um backdoor no computador infectado, indicando que este pode ser o primeiro exploit que busca tirar proveito dessa falha.
Possibly the first malware delivered through mail to exploit WinRAR vulnerability. The backdoor is generated by MSF and written to the global startup folder by WinRAR if UAC is turned off.https://t.co/bK0ngP2nIy
IOC:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443 pic.twitter.com/WpJVDaGq3D— 360 Threat Intelligence Center (@360TIC) 25 de febrero de 2019
Depois de examinar o arquivo RAR anexado, os pesquisadores verificaram que o exploit tenta extrair um arquivo na pasta inicial C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\. Quando o arquivo é extraído, com o nome de CMSTray.exe, na próxima vez em que o computador for iniciado, será executado e copiará o arquivo para %Temp%\ e, em seguida, executará o arquivo wbssrv.exe, de acordo com informações da página BleepingComputer.
Uma vez executado, o código malicioso se conectará com um endereço do qual baixará vários arquivos, entre os quais a ferramenta de pentesting Cobalt Strike Beacon DLL, que também é usada por cibercriminosos para acessar remotamente um computador infectado. Dessa forma, os atacantes poderão executar comandos e se propapar pela rede.
É importante que os usuários atualizem o WinRAR para a versão 5.70 o quanto antes para que possam estar protegidos contra essa campanha, bem como outros ataques que podem tentar se aproveitar dessa falha.
