Nguy cơ lây nhiễm mã độc từ phần mềm WinRAR

23:00 | 03/03/2019 | LỖ HỔNG ATTT

Phần mềm giải nén tệp tin phổ biến nhất trên hệ điều hành Windows đang đứng trước nguy cơ trở thành công cụ lây nhiễm mã độc ảnh hưởng tới hơn 500 triệu người dùng. Theo các chuyên gia bảo mật của Check Point Software (Israel), lỗ hổng được phát hiện ảnh hưởng tới tất cả các phiên bản của WinRAR được phát hành trong suốt 19 năm qua.

WinRAR là phần mềm nén và giải nén tệp tin phổ biến, cho phép người dùng có thể nén tệp tin ở các định dạng ZIP, RAR và hỗ trợ giải nén các định dạng khác như 7-zip, CAB, ACE,… Mặc dù được sử dụng chủ yếu trên hệ điều hành Windows nhưng phần mềm này cũng được phát triển đa nền tảng trên Android, Freebsd, Mac OS X, Linux… và là phần mềm thương mại. Trong thực tế, người dùng có thể sử dụng mà không cần phải trả phí. Vì vậy, số lượng người dùng sử dụng WinRAR lên tới hơn 500 triệu người dùng trên toàn thế giới.

Mới đây, các chuyên gia nghiên cứu bảo mật từ công ty nghiên cứu CheckPoint Software Technologies đã phát hiện phần mềm WinRAR vẫn hỗ trợ định dạng lưu trữ ACE – định dạng vốn không còn tồn tại. Theo một báo cáo của Check Point, lỗ hổng này đến từ thư viện UNACEV2.DLL được tích hợp trong mọi phiên bản WinRAR.

Bằng cách nào đó, tin tặc sẽ lừa người dùng truy cập một tệp WinRAR độc hại. Khi người dùng giải nén tệp tin, tin tặc sẽ lợi dụng các sơ hở trong mã lập trình của phần mềm để chèn các tập tin độc hại vào các vị trí ngoài thư mục đích mà người dùng chỉ định. Trong nghiên cứu của mình, nhóm chuyên gia của Check Point đã lợi dụng lỗ hổng này để chèn mã độc vào folder Startup của hệ điều hành Windows. Từ đó, mã độc này có thể thực thi cùng Windows mỗi khi hệ điều hành khởi động và thực hiện các tác vụ độc hại khác.

Lỗ hổng này gần như ảnh hưởng đến tất cả các phiên bản đã phát hành trong suốt 19 năm qua của WinRAR và có thể ảnh hưởng đến hàng triệu máy tính trên toàn cầu. Tại Việt Nam, hàng triệu người dùng cũng có thể gặp rủi ro khi tin tặc khai thác lỗ hổng này trên diện rộng.

Các nhà phát triển WinRAR đã khẩn trương phát hành phiên bản WinRAR 5.70 Beta 1 để khắc phục lỗ hổng này. Các lỗ hổng có liên quan được định danh: CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 và CVE-2018-20253. Do các nhà phát triển không thể truy cập vào mã nguồn của thư viện UNACEV2.DLL từ năm 2005, nên WinRAR đã quyết định ngừng hỗ trợ định dạng file nén ACE từ phiên bản 5.70 Beta 1.

Điều tồi tệ là mới đây, ngày 25/2, các chuyên gia bảo mật của 360 Threat Intelligence Center (Trung Quốc) đã phát hiện một chiến dịch phát tán email đính kèm các tập tin nén RAR độc hại có thể khai thác lỗ hổng của WinRAR để cài đặt mã độc trên các máy tính.

Nguy cơ lây nhiễm mã độc từ phần mềm WinRAR

Người dùng được khuyến cáo cần khẩn trương cập nhật WinRAR phiên bản mới nhất. Bên cạnh đó, người dùng không nên giải nén các tệp tin được gửi từ người lạ, có nội dung không an toàn để chống lại rủi ro mất an toàn thông tin.

Vân Ngọc

‹ › ×

Tin liên quan

Tin tặc có thể tấn công APT qua lỗ hổng phần mềm WinRAR

10:00 | 25/07/2021

Khai thác thành công lỗ hổng CVE-2021-35052 trong phần mềm nén và giải nén dữ liệu WinRAR, tin tặc có thể tấn công vào hàng loạt máy tính đang cài WinRAR, từ đó có thể dẫn đến các chiến dịch tấn công có chủ đích (APT) trên diện rộng.

Phát hiện lỗ hổng nghiêm trọng trong công cụ giải nén WinRAR

16:00 | 06/09/2023

Chuyên gia an ninh mạng của Zero Day Initiative phát hiện lỗ hổng nghiêm trọng trong WinRAR - công cụ giải nén phổ biến được hàng triệu người dùng Windows sử dụng. Lỗ hổng này đã được báo cáo lỗ hổng cho nhà cung cấp RARLAB. Đáng lưu ý, tin tặc có thể thực thi các lệnh trên máy tính từ xa nếu người dùng vô tình mở một file nén có mã độc.

Xuất hiện mã độc mới dùng Google Drive làm máy chủ C&C

09:00 | 24/01/2019

Các nhà nghiên cứu của hãng bảo mật Palo Alto (trụ sở chính tại Mỹ) vừa phát hiện ra một chiến dịch tấn công sử dụng Google Drive làm máy chủ C&C.

Mã độc hệ điều hành Windows tấn công macOS

10:00 | 14/02/2019

Các chuyên gia bảo mật tại Trend Micro (trụ sở Mỹ) đã phát hiện chiến dịch lây nhiễm mã độc có đuôi .exe (vốn chỉ thực thi trên hệ điều hành Windows) trên hệ điều hành macOS.

Tin cùng chuyên mục

Lỗ hổng mới trên chip Qualcomm cho phép tin tặc tấn công từ xa bằng cuộc gọi thoại

07:00 | 15/01/2024

Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.

Khám phá các kỹ thuật chống phân tích mới của phần mềm độc hại GuLoader

09:00 | 25/12/2023

Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.

Khám phá Trojan mới của BlueNoroff với mục tiêu tấn công người dùng macOS

17:00 | 22/12/2023

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.

Fortinet cảnh báo lỗ hổng chèn lệnh nghiêm trọng trong FortiSIEM

13:00 | 21/11/2023

Fortinet cảnh báo khách hàng về lỗ hổng chèn lệnh nghiêm trọng trong hệ điều hành máy chủ của FortiSIEM, lỗ hông này có thể bị khai thác bởi kẻ tấn công chưa xác thực từ xa để thực thi lệnh qua các truy vấn API tự tạo.