WinRAR含有超過10年的重大漏洞,5億用戶恐遭波及,駭客就能將惡意程式植入使用者的開機程序

WinRAR含有超過10年的重大漏洞,5億用戶恐遭波及

資安業者Check Point揭露了知名工具程式WinRAR的重大安全漏洞,一旦成功開採,駭客就能將惡意程式植入使用者的開機程序中,而且該漏洞起碼自2005年便已存在。

WinRAR是一款專為Wndows打造,可用來壓縮資料與歸檔打包的工具軟體,它能建立RAR及ZIP檔案格式,也能解壓縮涵蓋ACE、CAB、ISO、XZ、ZIP及7z等十多種檔案格式,是個有試用期限的共享軟體。WinRAR官網則宣稱它是全球最受歡迎的壓縮工具,用戶超過5億人。

Check Point的安全研究團隊是利用WinAFL模糊測試工具來檢測WinRAR的安全漏洞,總計找出CVE-2018-20250、CVE-2018-20251、CVE-2018-20252與CVE-2018-20253等4個安全漏洞,當中的前3個漏洞與壓縮檔案格式ACE有關,CVE-2018-20253則是越界寫入(out of bounds write)漏洞。

根據研究人員Nadav Grossman的說明,用來解析ACE檔案的unacev2.dll存在一個路徑穿越(Path Traversal)漏洞,允許駭客將檔案解壓縮到任何的路徑上,完全無視於目的資料夾,並將解壓縮的檔案路徑視為完整路徑。

駭客只要打造一個惡意的ACE檔案,誘導WinRAR用戶開啟,就能把暗藏的惡意程式解壓縮到Windows上的啟動資料夾( Startup Folders),一旦使用者啟動系統便會隨之執行。

已被知會的WinRAR則說,unacev2.dll是個用來解壓縮ACE格式的第三方函式庫,且從2005年迄今一直未更新,由於WinRAR無法存取它的原始碼,因此決定從5.7 Beta起放棄對ACE檔案格式的支援,以保護WinRAR用戶的安全。目前WinRAR最新的正式版為WinRAR 5.61,5.7Beta版亦已於1月28日釋出。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

鎖定WinRAR ACE漏洞的攻擊程式現身

這是因為由南韓資安業者ESTsecurity所打造的防毒軟體ALYac掃到了開採CVE-2018-20250漏洞的攻擊程式,並將它上傳至VirusTotal,而該漏洞即是WinRAR日前被披露的漏洞之一。

資安業者Check Point以WinAFL模糊測試工具找到了WinRAR的4個安全漏洞,包含CVE-2018-20250、CVE-2018-20251、CVE-2018-20252與CVE-2018-20253,其中的CVE-2018-20250與用來解析ACE檔案的unacev2.dll有關,它是一個(Path Traversal)漏洞,允許駭客將檔案解壓縮到任何的路徑上,因此駭客只要打造一個惡意的ACE檔案,誘導WinRAR用戶開啟,就能把暗藏的惡意程式解壓縮到Windows上的啟動資料夾( Startup Folders),而且駭客還可將.ACE檔案更名為.RAR,讓使用者更容易上當。

根據360威脅情報中心的說法,駭客是透過電子郵件來散布含有惡意程式的RAR檔案,倘若關閉了使用者帳戶控制(User Account Control,UAC)功能,它就能以木馬程式感染電腦。

資安新聞網站Bleeping Computer則下載了該病毒樣本,顯示在關閉UAC之後,WinRAR就能以管理員權限將解壓縮過後的惡意檔案存放在啟動資料夾,重新啟動電腦時惡意程式便會連結遠端伺服器以下載各種檔案,包含駭客常用的滲透測試工具Cobalt Strike Beacon,以利駭客自遠端存取使用者電腦。

WinRAR在得知相關漏洞之後,並沒有打算修補它,而是決定直接移除對ACE壓縮檔案的支援,但相關的變更僅存在於1月28日釋出的WinRAR 5.7 Beta版,資安社群亦預期會有愈來愈多的攻擊程式現身,意謂著WinRAR 5.61及以前版本的用戶正面臨巨大的安全風險。

資安專家建議WinRAR用戶可移除該軟體並改用其它解壓縮工具,或者也可採納由0patch團隊暫時提供的微修補解決方案。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

WinRAR漏洞被揭露的第一周就有超過100種攻擊

資安業者Check Point在今年2月20日揭露知名壓縮軟體WinRAR含有超過10年的重大漏洞,而趨勢科技則說,在相關漏洞被公布的第一周,坊間就出現了超過100種不同的攻擊行動,而且數量還在持續增加中。

中國360威脅情報中心在2月25日即發現了首個開採WinRAR安全漏洞CVE-2018-20250的攻擊程式,這是一個路徑穿越(Directory Traversal)漏洞,可經由特製的ACE格式檔案觸發,允許駭客將檔案解壓縮到任何路徑上,例如Windows的啟動資料夾,也可將.ACE檔案更名為.RAR,讓使用者更容易上當。

趨勢科技則在上周指出,在CVE-2018-20250漏洞被公布的第一周,他們便偵測到超過100種不同的攻擊行動,當時的受害者主要位於美國。

在其中一個攻擊案例中,駭客利用美國新生代歌手Ariana Grande的最新專輯《Thank U, NexT》來當作誘餌,此一含有木馬的壓縮檔案名稱為Ariana_Grande-thank_u,_next(2019)_[320].rar,解壓縮之後可發現它的確存放了專輯歌曲,但同時也在神不知鬼不覺的狀態下把木馬程式解壓縮到啟動資料夾,當系統重開機時,此一惡意程式便會自動執行。

WinRAR已經在2月28日釋出的WinRAR 5.70修補了漏洞,直接移除了對ACE格式的支援,用戶應儘快升級或部署有效的防毒軟體。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

WinRAR用戶小心了,攻擊文件五花八門

今年2月曝光的WinRAR安全漏洞CVE-2018-20250可藉由壓縮檔案將惡意程式植入使用者的開機程序,受到廣大駭客的青睞,除了McAfee透露在CVE-2018-20250漏洞被公布的第一周就偵測到逾100種不同的攻擊行動之外,其它資安業者也相繼披露鎖定該漏洞的攻擊樣本。

例如360威脅情報發現,在韓國出道的台灣女星葉舒華的壓縮檔案「10802201010葉舒華.rar」其實暗藏了遠端控制後門程式OfficeUpdateService.exe,可用來掌控電腦的啟動或關閉,竊取系統上的檔案,或是盜錄螢幕畫面等。

另有一個RAR檔案是鎖定阿拉伯地區的使用者,駭客所散布的「JobDetail.rar」檔案看似含有一個描述工作機會的PDF檔,但解壓縮之後,它卻在系統上植入了一個PowerShell後門程式,可再自遠端伺服器下載其它惡意程式。

至於FireEye最近發現的攻擊樣本「Scan_Letter_of_Approval.rar」則假冒為美國社會工作教育協會(CSWE)申請許可,但實則暗藏一個可與遠端伺服器交流的VBS後門程式。

還有一個「SysAid-Documentation.rar」檔案鎖定的攻擊對象是以色列的軍事產業,它偽裝成來自IT服務管理軟體業者SysAid,解壓縮之後卻在啟動程序中植入了惡意程式SappyCache。

針對烏克蘭的「zakon.rar」則是以烏克蘭前任總統所發出的產官合作訊息為誘餌,只要以WinRAR解壓縮它就會在啟動程式中植入Empire後門程式。

FireEye還發現一個有趣的攻擊樣本,此一「leaks copy.rar」看似含有眾多遭竊的電子郵件帳號及密碼,但其實可能含有各種不同的惡意程式,從鍵盤側錄、密碼竊取到遠端存取木馬等,該樣本主要吸引的族群就是駭客。

研究人員警告,之所以能在短期內就能看到如此五花八門的WinRAR漏洞攻擊樣本,除了因為WinRAR擁有5億的龐大用戶之外,也因WinRAR缺乏自動更新機制,再加上CVE-2018-20250非常容易開採,相信未來會有更多的駭客繼續利用該漏洞。

WinRAR已於2月28日釋出修補此一漏洞的WinRAR 5.70,WinRAR用戶應儘速展開升級。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏