image

Recente exploit in ACE-bestanden werkt momenteel alleen tegen WinRAR

donderdag 11 april 2019, 11:07 door Redactie, 6 reacties
Laatst bijgewerkt: 11-04-2019, 14:52

De afgelopen weken zijn bij verschillende aanvallen ACE-bestanden verstuurd die misbruik maken van een kwetsbaarheid in een oude library voor het ACE-compressieformaat, maar de huidige exploit werkt op het moment alleen tegen kwetsbare versies van WinRAR.

Andere programma's die dezelfde library gebruiken zijn ook kwetsbaar voor aanvallen, maar de exploit die bij de recente aanvallen is gebruikt moet per programma worden aangepast om te kunnen werken. Dat laat Christiaan Beek, lead scientist en senior principal engineer bij McAfee, aan Security.nl weten. Eind februari onthulden onderzoekers van Check Point dat ze een beveiligingslek in WinRAR hadden ontdekt.

De kwetsbaarheid bevond zich in de DLL-library die WinRAR gebruikte voor het uitpakken van ACE-bestanden. Wanneer er met een kwetsbare WinRAR-versie een kwaadaardig ACE-bestand wordt geopend is het voor een aanvaller mogelijk om code in de Startup-map van Windows te plaatsen. Deze code wordt vervolgens bij een herstart van het systeem uitgevoerd en kan bijvoorbeeld aanvullende malware installeren.

De library die WinRAR gebruikte, UNACEV2.DLL, wordt ook door andere programma's gebruikt, zoals Total Commander. Hoewel deze programma's dezelfde kwetsbare library gebruiken, werken de nu rondgaande exploits alleen tegen WinRAR, aldus Beek. Gisteren waarschuwde Microsoft nog dat het vorige maand gerichte aanvallen tegen organisaties in de satelliet- en communicatie-industrie heeft waargenomen waarbij het WinRAR-lek werd gebruikt.

Gebruikers werden verleid om een ACE-bestand te openen dat zogenaamd afbeeldingen leek te bevatten. In werkelijkheid wordt er een bestand genaamd "dropbox.exe" in de Startup-map geplaatst. Microsoft merkt op dat de huidige aanvallen alleen code in de Startup-map plaatsen, maar het ook mogelijk is om het bestand in een bekende SMB-map achter te laten.

Wat verder opvalt aan de aanval die Microsoft beschrijft is dat die wordt gecombineerd met verschillende Word-documenten, die onder andere een melding tonen dat de gebruiker zijn systeem moet herstarten. Op deze manier wordt de code in de Startup-map uitgevoerd. Sinds het beveiligingslek werd geopenbaard heeft McAfee naar eigen zeggen meer dan 100 unieke exploits ontdekt die van de kwetsbaarheid misbruik maken.

WinRAR behoort tot de populairste software voor de desktop, maar kent geen automatische updatefunctie. Gebruikers moeten de nieuwste versies waarin de kwetsbare ACE-library is verwijderd dan ook zelf downloaden en installeren. Uit onderzoek dat in januari verscheen bleek dat 71 procent van de WinRAR-installaties op het moment van het onderzoek niet up-to-date was.

Image

Reacties (6)
11-04-2019, 12:40 door Anoniem
>Aanval met ACE-bestanden werkt alleen tegen WinRAR

Tuurlijk jongens.

March 29, 2019: Total Commander 9.22a final is now available for download. This version fixes minor bugs found after the release of Total Commander 9.22. Version 9.22 mainly fixes a security issue with the UnACEv2 unpacker dll used to unpack ACE archives.
11-04-2019, 17:16 door Anoniem
Door Anoniem: >Aanval met ACE-bestanden werkt alleen tegen WinRAR

Tuurlijk jongens.

March 29, 2019: Total Commander 9.22a final is now available for download. This version fixes minor bugs found after the release of Total Commander 9.22. Version 9.22 mainly fixes a security issue with the UnACEv2 unpacker dll used to unpack ACE archives.
"Andere programma's die dezelfde library gebruiken zijn ook kwetsbaar voor aanvallen, maar de exploit die bij de recente aanvallen is gebruikt moet per programma worden aangepast om te kunnen werken."
12-04-2019, 10:55 door Wim ten Brink
Lastig is natuurlijk wel dat men vergeet de download-site te vermelden voor WinRAR. Is dat https://rarlab.com of https://www.win-rar.com? Of nog een andere site?
Probleem is dat WinRAR zo populair is, dat het ook overal te downloaden is. Eventueel inclusief extra malware, kant-en-klaar gecrackt zodat je geen licentie nodig hebt. Het gebrek aan een automatische update functie is dan ook zeker een probleem, mede omdat veel mensen deze software maar vrij weinig gebruiken en als ze het gebruiken dan is het om even snel iets in of uit te pakken. Je staat er dan ook niet bij stil dat deze software zo af en toe een update nodig heeft.
De juiste download-site is overigens https://www.rarlab.com maar https://www.win-rar.com is hun verkoopkanaal en dus zijn beide sites correct.
12-04-2019, 12:42 door Anoniem
Door Wim ten Brink: Lastig is natuurlijk wel dat men vergeet de download-site te vermelden voor WinRAR. Is dat https://rarlab.com of https://www.win-rar.com? Of nog een andere site?

Volgens mij is www.rarsoft.com de officieele website
15-04-2019, 15:37 door Anoniem
"de Dynamic-Link Library-library"

Altijd fijn als je zelf begrijpt wat je opschrijft.
15-04-2019, 16:53 door Anoniem
Door Anoniem: "de Dynamic-Link Library-library"

Altijd fijn als je zelf begrijpt wat je opschrijft.

Anders volg je eens een cursus Nederlands, misschien leer je nog iets...

Er is geen enkel bezwaar tegen het woord apk-keuring. Hoewel de k in apk inderdaad 'keuring' betekent en er voluit dus iets als 'algemene-periodieke-keuring-keuring' staat, is apk-keuring een correct Nederlands woord. Er zullen niet veel mensen zijn die het hebben over 'de ap-keuring van de auto'.

Er zijn meer samenstellingen met afkortingen waarin een element meer dan één keer voorkomt: ADSL-lijn en ISBN-nummer bijvoorbeeld.

https://onzetaal.nl/taaladvies/apk-keuring/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.