WinRAR Flaw Secara Aktif Digunakan Memuat Malware di PC Windows

0
57

Dalam laporan oleh  Threat Posting menyatakan bahwa kerentanan 19 tahun ditemukan pekan lalu di tool populer pengarsipan , WinRAR, secara aktif sedang dieksploitasi oleh hacker di seluruh dunia.

Ditemukan oleh para peneliti di 360 Threat Intelligence Center, cacat ini memungkinkan penyerang  memanfaatkan kerentanan path-traversal di WinRAR dan menjalankan kode berbahaya pada PC korban hanya dengan membuat mereka membuka file.

Dihasilkan menggunakan MSF, pintu belakang dimuat ke folder startup global sistem menggunakan WinRAR asalkan UAC dimatikan. Dengan demikian kode berbahaya dijalankan setiap kali sistem dinyalakan dan menyediakan akses jarak jauh ke penyerang.

The cacat ditambal oleh RAR Lab dalam versi terbaru dari alat kompresi populer yang dirilis pekan lalu. Tetapi dengan basis pengguna yang besar lebih dari 500 juta pengguna, sulit untuk memastikan bahwa setiap orang telah memperbarui perangkat lunak mereka.

Kerentanan sedang dieksploitasi dengan mengirim malspam (malware riddled email) yang berisi CMSTray.exe , yang dienkapsulasi dalam pengarsipan berbahaya alih-alih diunduh dari jarak jauh.

Setelah seorang korban membuka arsip yang didistribusikan oleh penyerang, kode berbahaya tersebut dijatuhkan ke folder startup (C: \ ProgramData \ Microsoft \ Windows \ StartMenu \ Programs \ Startup \ CMSTray.exe ).

Untuk melindungi diri Anda dari menjadi korban kerentanan ini, pastikan agar Kontrol Akun Pengguna  (UAC) tetap  aktif jika Anda menggunakan Win RAR versi lama.

Selain itu, peneliti juga menemukan kerentanan jalur traversal dengan unacev2.dll , yang merupakan perpustakaan tautan dinamis pihak ketiga yang ada dalam Win RAR yang digunakan untuk mengurai arsip ACE.

Penyerang bisa menggunakan taktik tombak-phishing untuk mengirim file ACE yang disamarkan yang dapat digunakan untuk memuat Malware ke sistem korban.

Sementara itu, para peneliti telah mendesak pengguna alat pengarsipan file populer untuk memperbarui perangkat lunak ke versi 5.70 beta 1 terbaru untuk melindungi diri mereka dari aktor jahat.