Recente exploit in ACE-bestanden werkt momenteel alleen tegen WinRAR

[Captain Kirk]

De afgelopen weken zijn bij verschillende aanvallen ACE-bestanden verstuurd die misbruik maken van een kwetsbaarheid in een oude library voor het ACE-compressieformaat, maar de huidige exploit werkt op het moment alleen tegen kwetsbare versies van WinRAR.

Andere programma's die dezelfde library gebruiken zijn ook kwetsbaar voor aanvallen, maar de exploit die bij de recente aanvallen is gebruikt moet per programma worden aangepast om te kunnen werken. Dat laat Christiaan Beek, lead scientist en senior principal engineer bij McAfee, aan Security.nl weten. Eind februari onthulden onderzoekers van Check Point dat ze een beveiligingslek in WinRAR hadden ontdekt.

De kwetsbaarheid bevond zich in de DLL-library die WinRAR gebruikte voor het uitpakken van ACE-bestanden. Wanneer er met een kwetsbare WinRAR-versie een kwaadaardig ACE-bestand wordt geopend is het voor een aanvaller mogelijk om code in de Startup-map van Windows te plaatsen. Deze code wordt vervolgens bij een herstart van het systeem uitgevoerd en kan bijvoorbeeld aanvullende malware installeren.

De library die WinRAR gebruikte, UNACEV2.DLL, wordt ook door andere programma's gebruikt, zoals Total Commander. Hoewel deze programma's dezelfde kwetsbare library gebruiken, werken de nu rondgaande exploits alleen tegen WinRAR, aldus Beek. Gisteren waarschuwde Microsoft nog dat het vorige maand gerichte aanvallen tegen organisaties in de satelliet- en communicatie-industrie heeft waargenomen waarbij het WinRAR-lek werd gebruikt.

Gebruikers werden verleid om een ACE-bestand te openen dat zogenaamd afbeeldingen leek te bevatten. In werkelijkheid wordt er een bestand genaamd "dropbox.exe" in de Startup-map geplaatst. Microsoft merkt op dat de huidige aanvallen alleen code in de Startup-map plaatsen, maar het ook mogelijk is om het bestand in een bekende SMB-map achter te laten.

Wat verder opvalt aan de aanval die Microsoft beschrijft is dat die wordt gecombineerd met verschillende Word-documenten, die onder andere een melding tonen dat de gebruiker zijn systeem moet herstarten. Op deze manier wordt de code in de Startup-map uitgevoerd. Sinds het beveiligingslek werd geopenbaard heeft McAfee naar eigen zeggen meer dan 100 unieke exploits ontdekt die van de kwetsbaarheid misbruik maken.

WinRAR behoort tot de populairste software voor de desktop, maar kent geen automatische updatefunctie. Gebruikers moeten de nieuwste versies waarin de kwetsbare ACE-library is verwijderd dan ook zelf downloaden en installeren. Uit onderzoek dat in januari verscheen bleek dat 71 procent van de WinRAR-installaties op het moment van het onderzoek niet up-to-date was.

 

 

bron: security.nl