ClickCease Attention : Vulnérabilité de WinRAR exposée dans un PoC

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Attention : Vulnérabilité de WinRAR exposée dans un PoC

Wajahat Raja

Le 4 octobre 2023 - L'équipe d'experts de TuxCare

Un hacker a récemment publié a fausse preuve de concept (PoC) pour une vulnérabilité de WinRAR précédemment corrigéece qui constitue une révélation inquiétante. L'objectif de cette opération malveillante était de infecter les téléchargeurs peu méfiants avec le tristement célèbre virus VenomRAT. Bien que la menace immédiate ait été atténuée, cet incident met en évidence les risques liés à l'acceptation de PoC obtenus à partir de services tels que GitHub, sans tests de sécurité suffisants.

 

Découverte du faux PoC

 

Le faux exploit PoC a été découvert par des professionnels de la cybersécurité de l'équipe Unit 42 de Palo Alto Networks. Le 21 août 2023l'attaquant attaquant a posté ce code malveillant sur GitHub. La tentative a heureusement été déjouée, mais l'épisode rappelle clairement les risques inhérents aux PoC non vérifiés.

Le PoC exploite la vulnérabilité CVE-2023-40477, qui permet l'exécution de code arbitraire lorsque des fichiers RAR personnalisés sont ouverts dans des versions de WinRAR antérieures à 6,23.qui permettait l'exécution de codes arbitraires lors de l'ouverture de fichiers RAR personnalisés dans les versions de WinRAR antérieures à la version 6.23. L'initiative Zero Day de Trend Micro a découvert la vulnérabilité du logiciel vulnérabilité du logiciel WinRAR le 8 juin 2023, bien qu'elle n'ait été officiellement signalée que le 17 août 2023. La mise à jour de sécurité de WinRAR a rapidement corrigé ce problème dans la version 6.23qui a été publiée le 2 août.

Les actions rapides de l'acteur de la menace

 

Une entité qui s'appelle elle-même "whalersplonk"a rapidement saisi l'occasion, déguisant le logiciel malveillant en code d'exploitation pour la nouvelle faille de sécurité de faille de sécurité WinRAR. Pour donner une légitimité à son paquet malveillant, l'acteur de la menace a publié un résumé dans le fichier README, ainsi qu'une vidéo de démonstration sur Streamable expliquant en détail comment utiliser le PoC.

Ce que l'équipe de l'unité 42 a découvert, en revanche, est préoccupant. Le script Python de la PoC s'est avéré être une version modifiée d'un exploit disponible publiquement publiquement disponible pour une vulnérabilité distincte, CVE-2023-25157. Ce bogue distinct était une importante vulnérabilité d'injection SQL qui affectait GeoServer.

La menace VenomRAT

 

Au lieu de lancer l'exploit prévu, le faux WinRAR PoC a développé un script batch. Ce script, à son tour, a téléchargé et exécuté un script PowerShell codé sur l'hôte infecté. Le résultat final ? Le logiciel malveillant VenomRAT a pénétré dans le système, déclenchant une série d'actions malveillantes.

Lorsqu'il est lancé sur un appareil Windows, VenomRAT démarre un enregistreur de frappe. Cet effrayant logiciel enregistrait chaque frappe et sauvegardait les données dans un fichier texte local. Ensuite, le virus communique avec un serveur de commande et de contrôle (C2), où il reçoit une série de commandes alarmantes. Ces commandes allaient de l'activation de plugins stockés dans le registre à la suppression de sous-clés du registre des logiciels. Le logiciel malveillant pouvait même calculer la durée entre les pings vers le serveur C2.

Compte tenu la capacité de VenomRAT à déployer d'autres charges utiles et à voler des informations d'identification importantesles personnes qui ont exécuté le faux PoC devraient réinitialiser leurs mots de passe pour tous les comptes et tous les environnements.

Une tromperie stratégique sur la vulnérabilité de WinRAR

 

Selon le calendrier établi par l'unité 42, l'acteur de la menace a méthodiquement développé l'infrastructure de l'attaque et la charge utile bien avant l'annonce publique de l'attentat. l'infrastructure d'attaque et la charge utile bien avant l'annonce publique de l'exploit WinRAR. Cette approche délibérée implique que le même attaquant pourrait, à l'avenir, profiter de l'attention accrue de la communauté de la sécurité autour des vulnérabilités fraîchement divulguées pour propager d'autres PoCs trompeurs pour de multiples problèmes.

Un paysage de menaces plus large

 

La publication de PoCs frauduleux sur des plateformes telles que GitHub n'est pas un cas rare. Les cybercriminels et les chercheurs en sécurité sont tous deux fréquemment ciblés par les acteurs de la menace. Les chercheurs ont découvert des milliers de dépôts GitHub diffusant de faux exploits PoC pour de nombreuses vulnérabilités de type "zero-day dès la fin de l'année 2022. Bon nombre de ces dépôts douteux étaient infectés par des logiciels malveillants, des scripts PowerShell malveillantsdes téléchargeurs d'informations cachées et même des droppers Cobalt Strike.

Conclusion

 

La vigilance est essentielle dans l'arène en constante évolution des menaces de cybersécurité. L'apparition de PoC contrefaits nous rappelle clairement que la confiance ne doit pas être accordée sans discernementLa confiance ne doit pas être accordée sans discernement, en particulier dans le domaine de la recherche et des essais en matière de cybersécurité. Faites toujours preuve de prudence lorsque vous utilisez des PoC provenant de sources inconnues, et être proactif en mettant en place des mesures de sécurité solides pour protéger vos systèmes contre les attaques malveillantes.

Les sources de cet article comprennent des articles dans The Hacker News et Bleeping Computer.

Résumé
Attention : Vulnérabilité de WinRAR exposée dans un PoC
Nom de l'article
Attention : Vulnérabilité de WinRAR exposée dans un PoC
Description
Restez protégé - Découvrez la récente vulnérabilité de WinRAR et les risques associés à un PoC contrefait. Assurez votre cybersécurité dès maintenant.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information