Lỗ hổng bảo mật mới trên WinRAR đã bị khai thác để tấn công hàng loạt máy tính Windows

Một lỗ hổng bảo mật mới phát hiện trên WinRAR đã bị khai thác để tấn công hàng loạt máy tính Windows trong vài ngày qua.

Đây không chỉ là lỗ hổng nguy hiểm Drupal vừa bị khai thác bởi tội phạm mạng để tấn công các trang web mạng chưa vá lỗ hổng, mà hacker còn khai thác lỗ hổng nghiêm trọng trên WinRAR vừa phát hiện trong tuần trước.

Vài ngày trước, TheHackerNews đã báo cáo về một lỗ hổng thực thi từ xa trên WinRAR có độ tuổi lên đến 19 năm, lỗ hổng này nằm trong thư viện UNACEV2.dll của WinRAR có thể cho phép một tập tin nén ACE độc hại có thể thực thi mã độc trên hệ thống mục tiêu.

WinRAR từ lâu đã là một phần mềm giải nén tập tin Windows cực phổ biến với 500 triệu người dùng trên toàn thế giới. Nhưng một lỗi nghiêm trọng "Đường dẫn tuyệt đối" (CVE-2018-20250) trong thư viện bên thứ ba cũ của nó, được gọi là UNACEV2.DLL, có thể cho phép kẻ tấn công trích xuất một nén tệp thực thi từ kho lưu trữ ACE đến một trong các thư mục Khởi động Windows, nơi tệp sẽ tự động chạy trong lần khởi động lại tiếp theo.

Để khai thác thành công lỗ hổng và kiểm soát hoàn toàn các máy tính được nhắm mục tiêu, tất cả những gì kẻ tấn công cần làm chỉ là thuyết phục người dùng mở tệp lưu trữ nén được tạo thủ công độc hại bằng WinRAR.

Điều tồi tệ gì đã xảy ra?

Các chuyên gia bảo mật của 360 Threat Intelligence Center (360TIC) mới hôm qua đã phát hiện một chiến dịch email đã phân phối các tập tin nén RAR độc hại có thể khai thác lỗ hổng của WinRAR để cài đặt mã độc trên các máy tính đang chạy phần mềm lỗi.

Như được hiển thị trong ảnh chụp màn hình được các nhà nghiên cứu chia sẻ, khi mở bằng phần mềm WinRAR, chạy với đặc quyền của quản trị viên hoặc trên hệ thống được nhắm mục tiêu có UAC (Kiểm soát tài khoản người dùng) đã vô hiệu hóa thư mục, được thiết kế để lây nhiễm máy tính mục tiêu với một cửa hậu.

Do UAC đặt ra một số hạn chế về quyền, nên cố gắng giải nén tệp lưu trữ với UAC được bật không thể đặt tệp exe độc ​​hại vào thư mục C: \ ProgramData, do đó không thể lây nhiễm vào máy tính.

Cách tốt nhất để bảo vệ bạn khỏi các cuộc tấn công này là cập nhật phần mềm của bạn bằng cách cài đặt phiên bản WinRAR mới nhất càng sớm càng tốt và tránh mở các tệp nhận được từ các nguồn không xác định.

Do nhóm WinRAR đã mất quyền truy cập vào mã nguồn cho thư viện UNACEV2.DLL dễ bị tổn thương vào năm 2005, thay vì khắc phục sự cố, nhóm đã phát hành phiên bản WINRar 5.70 beta 1 không hỗ trợ định dạng DLL và ACE.

Minh Hương