بسم الله الرحمن الرحيم
الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم
السلام عليكم ورحمة الله
علة WinRAR بفضل عدم وجود تحديثات تلقائية
لا تزال العديد من الجماعات الإجرامية السيبرانية والمتطفلين الفرديين يستغلون ثغرة أمنية في تنفيذ التعليمات البرمجية الحرجة تم تصحيحها مؤخرًا في WinRAR ، وهو تطبيق ضغط ملفات Windows الشهير مع 500 مليون مستخدم حول العالم.
لماذا ا؟
نظرًا لأن برنامج WinRAR لا يحتوي على ميزة التحديث التلقائي ، مما يترك ، للأسف ، ملايين المستخدمين عرضة للهجمات الإلكترونية.
تؤثر الثغرة الحرجة (CVE-2018-20250) التي قام فريق WinRAR بتصحيحها أواخر الشهر الماضي مع إصدار WinRAR الإصدار 5.70 beta 1 على جميع الإصدارات السابقة من WinRAR التي تم إصدارها على مدار الـ 19 عامًا الماضية.
بالنسبة لأولئك غير المدركين ، تكون مشكلة عدم الحصانة هي علة "Absolute Path Traversal" الموجودة في مكتبة الجهة الخارجية القديمة UNACEV2.DLL من WinRAR وتسمح للمهاجمين باستخراج ملف قابل للتنفيذ مضغوط من أرشيف ACE إلى أحد مجلدات بدء تشغيل Windows ، حيث سيتم تشغيل الملف الضار تلقائيًا عند إعادة التشغيل التالية.
لذلك ، لاستغلال هذه الثغرة الأمنية والسيطرة الكاملة على أجهزة الكمبيوتر المستهدفة ، كل ما على المهاجم فعله هو إقناع المستخدمين فقط بفتح ملف أرشيف مضغوط تم إنشاؤه بطريقة ضارة باستخدام WinRAR.
الإختراق winrar
مباشرة بعد نشر التفاصيل واستغلال كود إثبات صحة الفكرة (PoC) ، بدأ المهاجمون الضارون في استغلال الثغرة الأمنية في حملة البريد الإلكتروني malspam لتثبيت البرامج الضارة على أجهزة الكمبيوتر الخاصة بالمستخدمين الذين يشغلون النسخة المستضعفة من البرنامج.
الآن ، أفاد باحثو الأمن من McAfee أنهم حددوا أكثر من "100 استغلال وفرد فريد" في الأسبوع الأول منذ أن تم الكشف عن الثغرة الأمنية بشكل علني ، مع وجود معظم الأهداف الأولية في الولايات المتحدة.
إحدى الحملات الأخيرة التي رصدها الباحثون على ظهور نسخة من ألبوم ألبومات أريانا غراندي الذي تم اكتشافه حاليًا على أنه برنامج ضار بواسطة 11 منتجًا أمنيًا فقط ، في حين فشل 53 منتجًا من برامج مكافحة الفيروسات في تنبيه المستخدمين إلى وقت كتابة هذا التقرير.
يستخرج ملف RAR الضار (Ariana_Grande-thank_u ، _next (2019) _ [320] .rar) الذي اكتشفه McAfee قائمة بملفات MP3 غير المؤذية إلى مجلد تنزيل الضحية ولكنه يسقط ملف EXE ضار أيضًا إلى مجلد بدء التشغيل ، والذي تم مصممة لتسبب إصابة الكمبيوتر المستهدف بالبرامج الضارة.
"عندما يتم استخدام نسخة ضعيفة من WinRAR لاستخراج محتويات هذا الأرشيف ، يتم إنشاء حمولة ضارة في مجلد بدء التشغيل خلف الكواليس" ، يشرح الباحثون.
"تم تجاوز التحكم في وصول المستخدم (UAC) ، لذلك لا يتم عرض أي تنبيه للمستخدم. في المرة التالية التي يتم فيها إعادة تشغيل النظام ، يتم تشغيل البرامج الضارة."
لسوء الحظ ، لا تزال هذه الحملات مستمرة ، وأفضل طريقة لحماية نفسك من مثل هذه الهجمات هي تحديث النظام الخاص بك عن طريق تثبيت أحدث إصدار من برنامج WinRAR في أقرب وقت ممكن وتجنب فتح الملفات المستلمة من مصادر غير معروفة.
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))