Arhivele WinRAR SFX ar putea rula comenzi PowerShell fără a fi detectate

Atacatorii folosesc funcții malițioase în cadrul arhivelor WinRAR self-extracting ce conțin fișiere false, permițându-le să instaleze backdoor-uri fără a fi depistate de către agenții de securitate de pe sistemele vizate.

Arhivele Self-extracting (SFX) create cu ajutorul unui software precum WinRAR sau 7-Zip sunt executabile ce au în componență date arhivate și un stub pentru dezarhivare. Fișierele SFX pot fi protejate prin parolă pentru a preveni accesul neautorizat.

Scopul fișierelor SFX este de a simplifica distribuirea datelor arhivate către utilizatorii care nu dispun de programe care să dezarhiveze pachete.

Specialiștii au descoperit un atacator care folosea credențiale furate pentru a exploata utilman.exe, setându-l să lanseze un fișier SFX protejat prin parolă care fusese instalat anterior pe sistem.

Utilman este o aplicație de accesibilitate care poate fi executată înainte de autentificarea utilizatorului, pe care persoanele rău intenționate o folosesc pentru a ocoli autentificarea sistemului.

Funcția reală a fișierului SFX este de a folosi opțiunile de configurare ale WinRAR pentru a rula PowerShell, Command Prompt și Task manager cu privilegii de sistem.

Utilizatorii sunt sfătuiți să acorde o atenție sporită arhivelor SFX și să utilizeze un software antivirus pentru a verifica conținutul arhivei și pentru a căuta scripturi sau comenzi potențial programate să ruleze după extragere.

Sursă: https://www.bleepingcomputer.com/news/security/winrar-sfx-archives-can-run-powershell-without-being-detected/