專家建議WinRAR用戶改用其它解壓縮工具,或者採納由0patch提供的微修補解決方案。(圖片來源/0patch)

中國的360威脅情報中心2月25日透過Twitter警告,首個開採WinRAR安全漏洞的惡意程式已經現身。

這是因為由南韓資安業者ESTsecurity所打造的防毒軟體ALYac掃到了開採CVE-2018-20250漏洞的攻擊程式,並將它上傳至VirusTotal,而該漏洞即是WinRAR日前被披露的漏洞之一

資安業者Check Point以WinAFL模糊測試工具找到了WinRAR的4個安全漏洞,包含CVE-2018-20250、CVE-2018-20251、CVE-2018-20252與CVE-2018-20253,其中的CVE-2018-20250與用來解析ACE檔案的unacev2.dll有關,它是一個(Path Traversal)漏洞,允許駭客將檔案解壓縮到任何的路徑上,因此駭客只要打造一個惡意的ACE檔案,誘導WinRAR用戶開啟,就能把暗藏的惡意程式解壓縮到Windows上的啟動資料夾( Startup Folders),而且駭客還可將.ACE檔案更名為.RAR,讓使用者更容易上當。

根據360威脅情報中心的說法,駭客是透過電子郵件來散布含有惡意程式的RAR檔案,倘若關閉了使用者帳戶控制(User Account Control,UAC)功能,它就能以木馬程式感染電腦。

資安新聞網站Bleeping Computer則下載了該病毒樣本,顯示在關閉UAC之後,WinRAR就能以管理員權限將解壓縮過後的惡意檔案存放在啟動資料夾,重新啟動電腦時惡意程式便會連結遠端伺服器以下載各種檔案,包含駭客常用的滲透測試工具Cobalt Strike Beacon,以利駭客自遠端存取使用者電腦。

WinRAR在得知相關漏洞之後,並沒有打算修補它,而是決定直接移除對ACE壓縮檔案的支援,但相關的變更僅存在於1月28日釋出的WinRAR 5.7 Beta版,資安社群亦預期會有愈來愈多的攻擊程式現身,意謂著WinRAR 5.61及以前版本的用戶正面臨巨大的安全風險。

資安專家建議WinRAR用戶可移除該軟體並改用其它解壓縮工具,或者也可採納由0patch團隊暫時提供的微修補解決方案


Advertisement

更多 iThome相關內容