هشدارهای افتایی
آسیب‌پذیری CVE-2018-20250 در نرم‌افزار WinRAR در حال تبدیل شدن به یکی از پراستفاده‌ترین نقص‌های امنیتی ماه‌های اخیر است. مایکروسافت نیز اخیرا گزارشی را در ارتباط با سوء استفاده از این آسیب‌پذیری در حملات مختلف، منتشر کرده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از Naked Security، آسیب‌پذیری برنامه پرطرفدار WinRAR یک نقص اجرای کد از راه دور است که به مدت 19 سال در این نرم‌افزار وجود داشته است. پس از انتشار کد اثبات مفهومی این آسیب‌پذیری، حدود 100 اکسپلویت مختلف با بهره‌گیری از این نقص توسط مجرمین سایبری ایجاد شده است.
سوء استفاده از این آسیب‌پذیری از طریق فایل‌های فشرده با پسوند ACE انجام می‌شود که با انتشار نسخه 5.71 beta پشتیبانی از این پسوند متوقف شده است. گزارش مایکروسافت از حملات انجام شده توسط این آسیب‌پذیری، هشداری است برای سازمان‌هایی که هنوز نسخه WinRAR خود را بروزرسانی نکرده‌اند.
در یکی از حملات اخیر، از طریق ایمیل‌های فیشینگ، پیوست‌های Word مخربی ارسال شده است که با باز کردن آن‌ها یک فایل Word دیگر از طریق یک لینک OneDrive دانلود می‌شود. این فایل حاوی یک کد ماکرو برای راه‌اندازی payload بدافزار است. در نهایت یک اسکریپت PowerShell با بهره‌برداری از اکسپلویت CVE-2018-20250 باعث ایجاد درپشتی برای مهاجمین می‌شود.
توصیه می‌شود تا فایل‌های ACE تحت هیچ شرایطی باز نشوند و برنامه WinRAR بروزرسانی شود. باید توجه شود که مهاجمین می‌توانند برای فریب کاربر پسوند فایل‌های فشرده را تغییر دهند.
نشانه‌های آلودگی (IoC) حمله بررسی شده توسط مایکروسافت:
هش (SHA-256):
•    68133eb271d442216e66a8267728ab38bf143627aa5026a4a6d07bb616b3d9fd
•    ef3617a68208f047ccae2d169b8208aa87df9a4b8959e529577fe11c2e0d08c3
•    4cb0b2d9a4275d7e7f532f52c1b6ba2bd228a7b50735b0a644d2ecae96263352
•    6f78748f5b2902c05e88c1d2e45de8e7c635512a5f25d25217766554534277fe
•    c0c22e689e1e9fa11cbf8718405b20ce57c1d7c85d8e6e45c617e2b095b01b15
•    0089736ee162095ac2e4e66de6468dbb7824fe73996bbea48a3bb85f7fdd53e4
•    1c25286b8dea0ebe4e8fca0181c474ff47cf822330ef3613a7d599c12b37ff5f
•    144b3aa998cf9f30d6698bebe68a1248ca36dc5be534b1dedee471ada7302971
URLها:
•    hxxps://1drv[.]ms/u/s!AgvJCoYH9skpgUNf3Y3bfhSyFQao
•    hxxp://162[.]223[.]89[.]53/oa/
•    hxxp://162[.]223[.]89[.]53/oc/api/?t=<BOTID>
•    hxxp://162[.]223[.]89[.]53/or/?t=<BOTID>

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.