Qbik-club
Дата публикации:Автор:Категория: ;Теги:

Уязвимость в WinRAR

Корпорация Microsoft выяснила, благодаря чему стала возможна мартовская атака на операционную систему Windows, используемую телекоммуникационными компаниями. Взломщики эксплуатировали уязвимость в WinRAR, в последнее время завоевавшую популярность среди хакерских групп. Подробнее о деятельности злоумышленников корпорация рассказала в своем блоге.

Уязвимость в WinRAR

К счастью, в настоящее время для этой уязвимости (CVE-2018-20250) уже выпущен патч, однако из-за отсутствия функции автоматического обновления многие становятся жертвами подобных атак.

В ходе атаки злоумышленники рассылали фишинговые письма якобы от Министерства внутренних дел Афганистана. Используемые ими методы социальной инженерии были продуманы до мелочей с целью обеспечения полной удаленной компрометации системы в рамках ограниченной уязвимости в WinRAR.

Фишинговые письма содержали документ Microsoft Word со ссылкой на другой документ на OneDrive. Никаких вредоносных макросов в нем не было, вероятно для того чтобы избежать обнаружения атаки. Зато документ, загружаемый с OneDrive, содержал вредоносные макросы, после активации которых на систему жертвы загружалось вредоносное ПО.

В документе также была кнопка «Next page», отображающая поддельное уведомление об отсутствии нужного файла DLL и необходимости перезагрузки компьютера. Этот трюк был нужен, так как уязвимость позволяет вредоносному ПО только записывать файлы в определенную папку, но не запускать их сразу же. Поэтому идеальным вариантом являлся запуск вредоноса в папке «Автозагрузка» (Startup), запускаемой сразу после перезагрузки компьютера. После перезагрузки на зараженной системе запускался бэкдор PowerShell, предоставляющий злоумышленникам полный контроль над ней.

Понравилась публикация?

0

Поделитесь ей с друзьями!

Так же рекомендуем...

Загрузка рекомендуемых публикаций

Управление фоном

Информационный портал Qbik использует файлы cookie для обеспечения наилучшей функциональности сайта. Подробности на этой странице. Находясь на сайте Вы автоматически соглашаетесь с этими правилами.

Понятно