WinRAR ver 5.60 - pogadanka

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
2403
Reakcje/Polubienia
3541
Miasto
To tu to tam....
PS: polecam zero patch z uwagi na nader szybka reakcje: obecna wersja metasploita JUZ wykorzystuje ta luke:
Zaloguj lub Zarejestruj się aby zobaczyć!

IOC (OBECNEJ wersji) i payload dla ciekawych:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443
Bydle usiluje rozpakowac cmstray.exe do folderu startup, co na chwile obecna wymaga zezwolenia w UAC. O ile ktos ma wylaczony UAC (jak jedna nasza kolezanka dla wygody @joa87 ) - operacja sie powiedzie, i przy nastepnym loginie/starcie systemu bydle przekopiuje sie jako %Temp%\wbssrv.exe i sie uruchomi (o ile ktos nie ma zabezpieczen typu antyransomware jak CryptoPrevent, ktore blokuja uruchomienie pplikow exe z roznych egzotycznych lokalizacji typowych dla ransom/mal-ware).
Co jest ciekawe, uruchomienie spowoduje probe sciagniecia cobalt Strike Beacon ktory jest w sumie pentoolem... anyway: uruchomienie Cobalt Strike umozliwia pelny zdalny dostep do Waszego kompa wraz z uruchomieniem dowolnych komend oraz propagacja na powiazane zasoby sieciowe.

Podkreslam: powyzszy opis jest aktualny na dszis i teraz, bo wykorzystanie tej luki jest TRYWIALNIE proste dla dowolnego script-kiddo, a WinRAR jest na tyle popularny (dzieki m.in polityce wiecznego shareware) ze za moment pojawia sie miriady roznycfh wariantow wykorzystujacych te podatnosc.

W zwiazku z tym serio zalecam albo aktualizacje WinRARa do kastrata z wycieta obsluga ace albo zalatanie 0patchem.

Nie masz winRARa? to nie problem. Tak tylko podpowiem ze unacev2.dll jest nie tylko tam... znajduje sie tez w standardowej dystrybucji Total commandera... warto czasem poszukac... ;)
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
2403
Reakcje/Polubienia
3541
Miasto
To tu to tam....
PS do PS: Total commander juz nie bedzie podatny od nastepnej wersji. Chrisitian byl tak mily ze jak zapytalem co z tym koksem to mnie odeslal do WCZORAJSZEGO posta rozwiazujacego problem wrazliwego pliku dll w TC:
Zaloguj lub Zarejestruj się aby zobaczyć!

Podejrzewam ze zamiana pliku na spatchowany przez Christiana w folderze WinRAR tez by zalatwila sprawe, ale Autorzy WinRARa preferuja wyciecie przy samym tylku zamiast patcha bo "nie znaja kodu zrodlowego".

Fakt opracowania "blyskawicznego" patcha przez 0patch i Ch.G. oraz niemoznosc przez zespol WinRAR daje jakis rtam obraz mozliwosci, ale nie wysnuwajmy pochopnych wnioskow, moze impreza byla... ;)

Link do spatchowanej biblioteki:
Zaloguj lub Zarejestruj się aby zobaczyć!
 

alinek

Bardzo aktywny
Dołączył
11 Czerwiec 2010
Posty
153
Reakcje/Polubienia
99
Plik UNACEV2.DLL znajduje się także w przeglądarce graficznej XnView.
W Win7 (32-bit) C:\Program Files\XnView\Addon
 
Do góry