示意圖,與新聞事件無關。

圖片來源: 

芬安全

由於芬安全(F-Secure)使用7-Zip函式庫來解壓縮Rar檔案,因此所有的Windows端點防護產品,皆存在遠端程式碼執行漏洞,包括消費者端產品F-Secure Anti-Virus以及企業面向的F-Secure Server Security都在影響範圍中,資安研究員David L.表示,這個漏洞與芬安全本身的功能無關,只要使用7-Zip函式庫解壓縮Rar的軟體都可能有這個臭蟲,即使採用ASLR與DEP防護技術都沒用。

芬安全的產品在早前還受到7-Zip臭蟲CVE-2017-17969、CVE-2018-5996和CVE-2018-10115的影響,但由於芬安全的防毒軟體採用位址空間配置隨機載入(Address space layout randomization,ASLR)技術,因此駭客很難利用這三個漏洞進行攻擊,但這個由CVE-2018-10115衍生的漏洞不一樣,David L.在這個漏洞實現了遠端程式碼攻擊。

基本上這個漏洞是在使用未初始化記憶體的情況下,允許駭客控制一大部份Rar解碼器的狀態,特別在使用Rar1解碼器的時候。而這個攻擊最厲害的地方在於,駭客只要透過靜態酬載(Payload)就能繞過了ASLR保護,並且使用一些解壓縮技巧,藉由洩漏的指標獲取某個模組的位置,然後將這個位置添加到準備好的返回導向程式設計(Return Oriented-Programming,ROP)鍊中。由於主要執行的檔案缺乏ASLR保護,因此駭客要利這個臭蟲的困難,就只在Rar解壓縮的限制內容的情況下進行Heap Massaging。

市面上不少防毒產品都有檔案系統微過濾器,會攔截系統中的檔案並進行掃描。芬安全的產品也有,但是這後臺運作的系統卻不會解壓縮E-mail收到得檔案,因此當使用者透過E-mail收到惡意的Rar檔案,除非手動啟動掃描才有可能受駭。而這個其實很矛盾,David L.認為,防毒軟體應該要掃描可疑的檔案,但這樣的設計剛好減少利用這個漏洞來被攻擊的可能。

David L.提到,芬安全的產品會攔截並自動掃描HTT[流量,而且在預設情況下會解壓縮壓縮檔,他們已經實做出了一個網頁,可以讓使用者無意間自動下載惡意檔案,並且在芬安全防毒軟體插手掃描時,對使用者電腦進行攻擊。

7zip針對這個漏洞已經釋出了新的修正版本,而新版的7zip 18.05不僅解決了這個漏洞,而且還在所有主要可執行檔案中使用ASLR技術。有另一家防毒軟體Malwarebytes的使用者,在其官方論壇貼文提問,想知道Malwarebytes的防毒軟體是否也存在這個漏洞風險,對此官方沒有直接回應,只說新版的程式包含的7zip函式庫使用18.05版本。

對於這樣的漏洞,David L.對芬安全提出了3個解緩問題的措施以強化產品,第一個是使用沙盒引擎,這能確保大部分程式碼不會擁有特殊執行權限,再來就是啟用現代Windows的CFG和ACG等漏洞減緩功能。最後他認為,芬安全的產品應該停止窺探使用者的HTTP流量,因為這功能很無用,駭客只要將HTTP切換成HTTPS就能規避芬安全的掃描。

David L.表示,這個漏洞並非直接發生在芬安全產品的功能上,只要是使用7-Zip函式庫來解壓縮Rar檔案的產品都可能存在這個問題,而且即便啟用ASLR以及DEP防護技術都沒用。


Advertisement

更多 iThome相關內容