WinRAR爆出10年未发现的重大安全漏洞,务必更新到5.7版以上

【美博翻墙2019.7.20】WinRAR压缩软件是最常用的电脑软件,几乎人人电脑中都有,请大家务必更新到5.7版本以上。有一段小插曲,以前美博园曾与一位电脑技术负责人谈安全问题,他坚持认定winrar这些压缩软件不用更新、不用随着官方一起更新,这些软件不会有什么安全问题。美博园翻墙网一直有一个基本观点:只要是姓“网”的(指网络),姓“软”的(指软件),都"可能"存在安全隐患,甚至严重的安全威胁,这不是专业技能高低的问题,而是因为网络和软件本身的技术局限性所导致的不完善。今年有爆出WinRAR的10年未被发现的ACE重大安全漏洞,有心人借由在压缩软件中植入恶意程序,解压缩时就可能安装恶意病毒、窃取帐号密码、控制电脑、甚至让电脑整台死机无法使用。

WinRAR的重大安全漏洞

由韩国资安业者ESTsecurity所打造的防毒软件ALYac扫到了开采CVE-2018-20250漏洞的攻击程序,并将它上载至VirusTotal,而该漏洞即是WinRAR日前被披露的漏洞之一。

资安业者Check Point以WinAFL模糊测试工具找到了WinRAR的4个安全漏洞,包含CVE-2018-20250、CVE-2018-20251、CVE-2018-20252与CVE-2018-20253,其中的CVE-2018-20250与用来解析ACE文件的unacev2.dll有关,它是一个(Path Traversal)漏洞,允许黑客将文件解压缩到任何的路径上,因此黑客只要打造一个恶意的ACE文件,诱导WinRAR用户开启,就能把暗藏的恶意程序解压缩到Windows上的启动文件夹( Startup Folders),而且黑客还可将.ACE文件更名为.RAR,让使用者更容易上当。

黑客是透过电子邮件来散布含有恶意程序的RAR文件,倘若关闭了使用者帐户控制(User Account Control,UAC)功能,它就能以木马程序感染电脑。

资安新闻网站Bleeping Computer则下载了该病毒样本,显示在关闭UAC之后,WinRAR就能以管理员权限将解压缩过后的恶意文件存放在启动文件夹,重新启动电脑时恶意程序便会超链接远端服务器以下载各种文件,包含黑客常用的渗透测试工具Cobalt Strike Beacon,以利黑客自远端存取使用者电脑。

WinRAR的重大漏洞已经存在超过10年的,5亿用户恐遭波及

资安业者Check Point揭露了知名工具程序WinRAR的重大安全漏洞,一旦成功开采,黑客就能将恶意程序植入使用者的开机程序中,而且该漏洞起码自2005年便已存在。

WinRAR是一款专为Wndows打造,可用来压缩资料与归档打包的工具软件,它能建立RAR及ZIP文件格式,也能解压缩涵盖ACE、CAB、ISO、XZ、ZIP及7z等十多种文件格式,是个有试用期限的共享软件。WinRAR官网则宣称它是全球最受欢迎的压缩工具,用户超过5亿人。

Check Point的安全研究团队是利用WinAFL模糊测试工具来检测WinRAR的安全漏洞,总计找出CVE-2018-20250、CVE-2018-20251、CVE-2018-20252与CVE-2018-20253等4个安全漏洞,当中的前3个漏洞与压缩包案格式ACE有关,CVE-2018-20253则是越界写入(out of bounds write)漏洞。

根据研究人员Nadav Grossman的说明,用来解析ACE文件的unacev2.dll存在一个路径穿越(Path Traversal)漏洞,允许黑客将文件解压缩到任何的路径上,完全无视于目的文件夹,并将解压缩的文件路径视为完整路径。

黑客只要打造一个恶意的ACE文件,诱导WinRAR用户开启,就能把暗藏的恶意程序解压缩到Windows上的启动文件夹( Startup Folders),一旦使用者启动系统便会随之执行。

已被知会的WinRAR则说,unacev2.dll是个用来解压缩ACE格式的第三方函数库,且从2005年迄今一直未更新,由于WinRAR无法存取它的源代码,因此决定从5.7 Beta起放弃对ACE文件格式的支持,以保护WinRAR用户的安全。

WinRAR漏洞被揭露的第一周,就有超过100种攻击

资安业者Check Point在今年2月20日揭露知名压缩软件WinRAR含有超过10年的重大漏洞,而McAfee则说,在相关漏洞被公布的第一周,坊间就出现了超过100种不同的攻击行动,而且数量还在持续增加中。

据报道:首个开采WinRAR安全漏洞CVE-2018-20250的攻击程序,这是一个路径穿越(Directory Traversal)漏洞,可经由特制的ACE格式文件触发,允许黑客将文件解压缩到任何路径上,例如Windows的启动文件夹,也可将.ACE文件更名为.RAR,让使用者更容易上当。

McAfee则在上周指出,在CVE-2018-20250漏洞被公布的第一周,他们便侦测到超过100种不同的攻击行动,当时的受害者主要位于美国。

在其中一个攻击案例中,黑客利用美国新生代歌手Ariana Grande的最新专辑《Thank U, NexT》来当作诱饵,此一含有木马的压缩包案名称为Ariana_Grande-thank_u,_next(2019)_[320].rar,解压缩之后可发现它的确存放了专辑歌曲,但同时也在神不知鬼不觉的状态下把木马程序解压缩到启动文件夹,当系统重开机时,此一恶意程序便会自动执行。

WinRAR用户小心了,攻击文件五花八门

拥有5亿用户的WinRAR,由于缺乏自动更新机制,加上漏洞本身容易开采,导致大量攻击手法不断出现

今年2月曝光的WinRAR安全漏洞CVE-2018-20250可借由压缩包案将恶意程序植入使用者的开机程序,受到广大黑客的青睐,除了McAfee透露在CVE-2018-20250漏洞被公布的第一周就侦测到逾100种不同的攻击行动之外,其它资安业者也相继披露锁定该漏洞的攻击样本。

例如:在韩国出道的台湾女星叶舒华的压缩包案“10802201010叶舒华.rar”其实暗藏了远端控制后门程序OfficeUpdateService.exe,可用来掌控电脑的启动或关闭,窃取系统上的文件,或是盗录屏幕画面等。

另有一个RAR文件是锁定阿拉伯地区的使用者,黑客所散布的“JobDetail.rar”文件看似含有一个描述工作机会的PDF档,但解压缩之后,它却在系统上植入了一个PowerShell后门程序,可再自远端服务器下载其它恶意程序。

至于FireEye最近发现的攻击样本“Scan_Letter_of_Approval.rar”则假冒为美国社会工作教育协会(CSWE)申请许可,但实则暗藏一个可与远端服务器交流的VBS后门程序。

还有一个“SysAid-Documentation.rar”文件锁定的攻击对象是以色列的军事产业,它伪装成来自IT服务管理软件业者SysAid,解压缩之后却在启动程序中植入了恶意程序SappyCache。

针对乌克兰的“zakon.rar”则是以乌克兰前任总统所发出的产官合作讯息为诱饵,只要以WinRAR解压缩它就会在启动程序中植入Empire后门程序。

FireEye还发现一个有趣的攻击样本,此一“leaks copy.rar”看似含有众多遭窃的电子邮件帐号及密码,但其实可能含有各种不同的恶意程序,从键盘侧录、密码窃取到远端存取木马等,该样本主要吸引的族群就是黑客。

研究人员警告,之所以能在短期内就能看到如此五花八门的WinRAR漏洞攻击样本,除了因为WinRAR拥有5亿的庞大用户之外,也因WinRAR缺乏自动更新机制,再加上CVE-2018-20250非常容易开采,相信未来会有更多的黑客继续利用该漏洞。

美博园翻墙网建议:请网友务必使用 winrar 5.7以上版本,抛弃旧版本

因为winrar官方在得知相关漏洞之后,采用的方式并没有去修补以前程序的漏洞,而是自5.7beta版本开始决定直接删除对ACE压缩的支持,但相关的变更仅存在于WinRAR 5.7beta 版以上,资安专家预期会有愈来愈多的攻击程序现身,意谓著WinRAR 5.61及以前版本的用户正面临巨大的安全风险。

美博园建议:

1、WinRAR必须使用5.7版本以上,目前是5.7.1

winrar官方网站:https://rarlab.com/
winrar官方下载页面:https://rarlab.com/download.htm
即:

windows 32位系统 简体中文版
https://rarlab.com/rar/wrar571sc.exe

windows 64位系统 简体中文版
https://rarlab.com/rar/winrar-x64-571sc.exe

windows 32位系统 繁体中文版
https://rarlab.com/rar/wrar571tc.exe

windows 64位系统 繁体中文版
https://rarlab.com/rar/winrar-x64-571tc.exe

选择自己语言的版本,下载后,得到类似这样的执行文件: winrar-x64-571.exe
1)若以前是安装版,双击winrar-x64-571.exe,启动安装,就会覆盖原来的版本,即可。
2)若是绿色版,将winrar-x64-571.exe复制到原winrar文件夹中,然后用以前的winrar或7z压缩软件,解压缩winrar-x64-571.exe到这个winrar文件夹,就会覆盖原文件文件,OK。

2、改用其它解压缩工具

3、采纳由0patch团队暂时提供的微修补解决方案。

原文链接:https://allinfa.com/winrar-major-security-vulnerability.html
原文标题:WinRAR爆出10年未发现的重大安全漏洞,务必更新到5.7版以上 - 美博园
美博园文章均为“原创 - 首发”,请尊重辛劳撰写,转载请以上面完整链接注明来源!
软件版权归原作者!个别转载文,本站会注明为转载。

网 友 留 言

9条评论 in “WinRAR爆出10年未发现的重大安全漏洞,务必更新到5.7版以上”
  1. Atalsy@hotmail.com

    大家好,我是中国特工张**,这次去美国刺---(编注:后面的极端言论,删除)

  2. alilen

    对抗网络监控最安全的办法是把你的某些帐号密码(或者接近,或者用已泄漏的数据)放出,肯定会有各种好奇的人去试(包括我),这样有利于打乱双方的社会关系,网络环境,写作规律,系统环境,操作习惯……

这里是你留言评论的地方


请留言


7 + 7 =
【您可以使用 Ctrl+Enter 快速发送】
Copyright © 2007 - 2024 , Design by 美博园. 版权所有. 若有版权问题请留言通知本站管理员. 【回到顶部】