Bug WinRAR yang Ditambal Masih Dalam Serangan Aktif — Berkat Tidak Ada Pembaruan Otomatis
Berbagai kelompok cyber criminal dan peretas individual masih mengeksploitasi kerentanan eksekusi kode kritis yang baru saja ditambal di WinRAR , aplikasi kompresi file Windows yang populer dengan 500 juta pengguna di seluruh dunia.
Mengapa? Karena perangkat lunak WinRAR tidak memiliki fitur pembaruan otomatis, yang, sayangnya, membuat jutaan penggunanya rentan terhadap serangan dunia maya.
Kerentanan kritis (CVE-2018-20250) yang ditambal akhir bulan lalu oleh tim WinRAR dengan rilis WinRAR versi 5.70 beta 1 berdampak pada semua versi WinRAR sebelumnya yang dirilis selama 19 tahun terakhir.
Bagi mereka yang tidak sadar, kerentanannya adalah bug "Absolute Path Traversal" yang berada di perpustakaan pihak ketiga lama UNACEV2.DLL dari WinRAR dan memungkinkan penyerang untuk mengekstrak file yang dapat dieksekusi yang dikompresi dari arsip ACE ke salah satu folder Windows Startup, di mana file malicious akan secara otomatis berjalan pada reboot berikutnya.
Oleh karena itu, untuk berhasil mengeksploitasi kerentanan ini dan mengambil kendali penuh atas komputer yang ditargetkan, yang perlu dilakukan penyerang hanyalah meyakinkan pengguna untuk membuka file arsip terkompresi yang dibuat dengan maliciously-crafted menggunakan WinRAR.
Segera setelah rincian dan kode eksploitasi proof-of-concept (PoC) dipublikasikan, penyerang malicious mulai mengeksploitasi kerentanan dalam kampanye email malspam untuk menginstal malware di komputer pengguna yang menjalankan versi perangkat lunak yang rentan.
Sekarang, peneliti keamanan dari McAfee melaporkan bahwa mereka mengidentifikasi lebih dari "100 eksploitasi dan penghitungan unik" pada minggu pertama sejak kerentanan diungkapkan kepada publik, dengan sebagian besar target awal berada di Amerika Serikat.
Satu kampanye baru-baru ini ditemukan oleh para peneliti sebagai dukungan pada salinan boot dari album hit Ariana Grande, yang saat ini sedang dideteksi sebagai malware oleh hanya 11 produk keamanan, sedangkan 53 produk antivirus gagal memperingatkan pengguna mereka pada saat penulisan.
File RAR malicious (Ariana_Grande-thank_u, _next (2019) _ [320] .rar) yang terdeteksi oleh McAfee mengekstrak daftar file MP3 yang tidak berbahaya ke folder unduhan korban tetapi juga menjatuhkan file EXE berbahaya ke folder startup, yang telah dirancang untuk menginfeksi komputer yang ditargetkan dengan malware.
"Ketika versi rentan WinRAR digunakan untuk mengekstraksi isi arsip ini, muatan berbahaya dibuat di folder Startup di belakang layar," para peneliti menjelaskan.
"Kontrol Akses Pengguna (UAC) dilewati, jadi tidak ada peringatan yang ditampilkan kepada pengguna. Lain kali sistem restart, malware dijalankan."
Sayangnya, kampanye semacam itu masih berlangsung, dan cara terbaik untuk melindungi diri dari serangan semacam itu adalah memperbarui sistem Anda dengan menginstal versi terbaru perangkat lunak WinRAR sesegera mungkin dan menghindari membuka file yang diterima dari sumber yang tidak dikenal.
Sumber Referensi Artikel : TheHackerNews
