WinRAR爆出10年未發現的重大安全漏洞，務必更新到5.7版以上

【美博翻牆2019.7.20】WinRAR壓縮軟體是最常用的電腦軟體，幾乎人人電腦中都有，請大家務必更新到5.7版本以上。有一段小插曲，以前美博園曾與一位電腦技術負責人談安全問題，他堅持認定winrar這些壓縮軟體不用更新、不用隨著官方一起更新，這些軟體不會有什麼安全問題。美博園翻牆網一直有一個基本觀點：只要是姓｢網｣的（指網路），姓｢軟｣的（指軟體），都"可能"存在安全隱患，甚至嚴重的安全威脅，這不是專業技能高低的問題，而是因為網路和軟體本身的技術局限性所導致的不完善。今年有爆出WinRAR的10年未被發現的ACE重大安全漏洞，有心人藉由在壓縮軟體中植入惡意程序，解壓縮時就可能安裝惡意病毒、竊取帳號密碼、控制電腦、甚至讓電腦整台死機無法使用。

WinRAR的重大安全漏洞

由韓國資安業者ESTsecurity所打造的防毒軟體ALYac掃到了開採CVE-2018-20250漏洞的攻擊程序，並將它上載至VirusTotal，而該漏洞即是WinRAR日前被披露的漏洞之一。

資安業者Check Point以WinAFL模糊測試工具找到了WinRAR的4個安全漏洞，包含CVE-2018-20250、CVE-2018-20251、CVE-2018-20252與CVE-2018-20253，其中的CVE-2018-20250與用來解析ACE文件的unacev2.dll有關，它是一個（Path Traversal）漏洞，允許駭客將文件解壓縮到任何的路徑上，因此駭客只要打造一個惡意的ACE文件，誘導WinRAR用戶開啟，就能把暗藏的惡意程序解壓縮到Windows上的啟動資料夾（ Startup Folders），而且駭客還可將.ACE文件更名為.RAR，讓使用者更容易上當。

駭客是通過電子郵件來散布含有惡意程序的RAR文件，倘若關閉了使用者帳戶控制（User Account Control，UAC）功能，它就能以木馬程式感染電腦。

資安新聞網站Bleeping Computer則下載了該病毒樣本，顯示在關閉UAC之後，WinRAR就能以管理員許可權將解壓縮過後的惡意文件存放在啟動資料夾，重新啟動電腦時惡意程序便會超鏈接遠端伺服器以下載各種文件，包含駭客常用的滲透測試工具Cobalt Strike Beacon，以利駭客自遠端存取使用者電腦。

WinRAR的重大漏洞已經存在超過10年的，5億用戶恐遭波及

資安業者Check Point揭露了知名工具程序WinRAR的重大安全漏洞，一旦成功開採，駭客就能將惡意程序植入使用者的開機程序中，而且該漏洞起碼自2005年便已存在。

WinRAR是一款專為Wndows打造，可用來壓縮資料與歸檔打包的工具軟體，它能建立RAR及ZIP文件格式，也能解壓縮涵蓋ACE、CAB、ISO、XZ、ZIP及7z等十多種文件格式，是個有試用期限的共享軟體。WinRAR官網則宣稱它是全球最受歡迎的壓縮工具，用戶超過5億人。

Check Point的安全研究團隊是利用WinAFL模糊測試工具來檢測WinRAR的安全漏洞，總計找出CVE-2018-20250、CVE-2018-20251、CVE-2018-20252與CVE-2018-20253等4個安全漏洞，當中的前3個漏洞與壓縮檔案格式ACE有關，CVE-2018-20253則是越界寫入（out of bounds write）漏洞。

根據研究人員Nadav Grossman的說明，用來解析ACE文件的unacev2.dll存在一個路徑穿越（Path Traversal）漏洞，允許駭客將文件解壓縮到任何的路徑上，完全無視於目的資料夾，並將解壓縮的文件路徑視為完整路徑。

駭客只要打造一個惡意的ACE文件，誘導WinRAR用戶開啟，就能把暗藏的惡意程序解壓縮到Windows上的啟動資料夾（ Startup Folders），一旦使用者啟動系統便會隨之執行。

已被知會的WinRAR則說，unacev2.dll是個用來解壓縮ACE格式的第三方函數庫，且從2005年迄今一直未更新，由於WinRAR無法存取它的原始碼，因此決定從5.7 Beta起放棄對ACE文件格式的支持，以保護WinRAR用戶的安全。

WinRAR漏洞被揭露的第一周，就有超過100種攻擊

資安業者Check Point在今年2月20日揭露知名壓縮軟體WinRAR含有超過10年的重大漏洞，而McAfee則說，在相關漏洞被公布的第一周，坊間就出現了超過100種不同的攻擊行動，而且數量還在持續增加中。

據報道：首個開採WinRAR安全漏洞CVE-2018-20250的攻擊程序，這是一個路徑穿越（Directory Traversal）漏洞，可經由特製的ACE格式文件觸發，允許駭客將文件解壓縮到任何路徑上，例如Windows的啟動資料夾，也可將.ACE文件更名為.RAR，讓使用者更容易上當。

McAfee則在上周指出，在CVE-2018-20250漏洞被公布的第一周，他們便偵測到超過100種不同的攻擊行動，當時的受害者主要位於美國。

在其中一個攻擊案例中，駭客利用美國新生代歌手Ariana Grande的最新專輯《Thank U, NexT》來當作誘餌，此一含有木馬的壓縮檔案名稱為Ariana_Grande-thank_u,_next(2019)_[320].rar，解壓縮之後可發現它的確存放了專輯歌曲，但同時也在神不知鬼不覺的狀態下把木馬程式解壓縮到啟動資料夾，當系統重開機時，此一惡意程序便會自動執行。

WinRAR用戶小心了，攻擊文件五花八門

擁有5億用戶的WinRAR，由於缺乏自動更新機制，加上漏洞本身容易開採，導致大量攻擊手法不斷出現

今年2月曝光的WinRAR安全漏洞CVE-2018-20250可藉由壓縮檔案將惡意程序植入使用者的開機程序，受到廣大駭客的青睞，除了McAfee透露在CVE-2018-20250漏洞被公布的第一周就偵測到逾100種不同的攻擊行動之外，其它資安業者也相繼披露鎖定該漏洞的攻擊樣本。

例如：在韓國出道的台灣女星葉舒華的壓縮檔案｢10802201010葉舒華.rar｣其實暗藏了遠端控制後門程序OfficeUpdateService.exe，可用來掌控電腦的啟動或關閉，竊取系統上的文件，或是盜錄螢幕畫面等。

另有一個RAR文件是鎖定阿拉伯地區的使用者，駭客所散布的｢JobDetail.rar｣文件看似含有一個描述工作機會的PDF檔，但解壓縮之後，它卻在系統上植入了一個PowerShell後門程序，可再自遠端伺服器下載其它惡意程序。

至於FireEye最近發現的攻擊樣本｢Scan_Letter_of_Approval.rar｣則假冒為美國社會工作教育協會（CSWE）申請許可，但實則暗藏一個可與遠端伺服器交流的VBS後門程序。

還有一個｢SysAid-Documentation.rar｣文件鎖定的攻擊對象是以色列的軍事產業，它偽裝成來自IT服務管理軟體業者SysAid，解壓縮之後卻在啟動程序中植入了惡意程序SappyCache。

針對烏克蘭的｢zakon.rar｣則是以烏克蘭前任總統所發出的產官合作訊息為誘餌，只要以WinRAR解壓縮它就會在啟動程序中植入Empire後門程序。

FireEye還發現一個有趣的攻擊樣本，此一｢leaks copy.rar｣看似含有眾多遭竊的電子郵件帳號及密碼，但其實可能含有各種不同的惡意程序，從鍵盤側錄、密碼竊取到遠端存取木馬等，該樣本主要吸引的族群就是駭客。

研究人員警告，之所以能在短期內就能看到如此五花八門的WinRAR漏洞攻擊樣本，除了因為WinRAR擁有5億的龐大用戶之外，也因WinRAR缺乏自動更新機制，再加上CVE-2018-20250非常容易開採，相信未來會有更多的駭客繼續利用該漏洞。

美博園翻牆網建議：請網友務必使用 winrar 5.7以上版本，拋棄舊版本

因為winrar官方在得知相關漏洞之後，採用的方式並沒有去修補以前程序的漏洞，而是自5.7beta版本開始決定直接刪除對ACE壓縮的支持，但相關的變更僅存在於WinRAR 5.7beta 版以上，資安專家預期會有愈來愈多的攻擊程序現身，意謂著WinRAR 5.61及以前版本的用戶正面臨巨大的安全風險。

美博園建議：

1、WinRAR必須使用5.7版本以上，目前是5.7.1

winrar官方網站：https://rarlab.com/
winrar官方下載頁面：https://rarlab.com/download.htm
即：

windows 32位系統 簡體中文版
https://rarlab.com/rar/wrar571sc.exe

windows 64位系統 簡體中文版
https://rarlab.com/rar/winrar-x64-571sc.exe

windows 32位系統 繁體中文版
https://rarlab.com/rar/wrar571tc.exe

windows 64位系統 繁體中文版
https://rarlab.com/rar/winrar-x64-571tc.exe

選擇自己語言的版本，下載後，得到類似這樣的執行文件： winrar-x64-571.exe
1）若以前是安裝版，雙擊winrar-x64-571.exe，啟動安裝，就會覆蓋原來的版本，即可。
2）若是綠色版，將winrar-x64-571.exe複製到原winrar資料夾中，然後用以前的winrar或7z壓縮軟體，解壓縮winrar-x64-571.exe到這個winrar資料夾，就會覆蓋原文件文件，OK。

2、改用其它解壓縮工具

3、採納由0patch團隊暫時提供的微修補解決方案。