鎖定WinRAR ACE漏洞的攻擊程式現身

中國的360威脅情報中心2月25日透過Twitter警告，首個開採WinRAR安全漏洞的惡意程式已經現身。

這是因為由南韓資安業者ESTsecurity所打造的防毒軟體ALYac掃到了開採CVE-2018-20250漏洞的攻擊程式，並將它上傳至VirusTotal，而該漏洞即是WinRAR日前被披露的漏洞之一。

資安業者Check Point以WinAFL模糊測試工具找到了WinRAR的4個安全漏洞，包含CVE-2018-20250、CVE-2018-20251、CVE-2018-20252與CVE-2018-20253，其中的CVE-2018-20250與用來解析ACE檔案的unacev2.dll有關，它是一個（Path Traversal）漏洞，允許駭客將檔案解壓縮到任何的路徑上，因此駭客只要打造一個惡意的ACE檔案，誘導WinRAR用戶開啟，就能把暗藏的惡意程式解壓縮到Windows上的啟動資料夾（ Startup Folders），而且駭客還可將.ACE檔案更名為.RAR，讓使用者更容易上當。

根據360威脅情報中心的說法，駭客是透過電子郵件來散布含有惡意程式的RAR檔案，倘若關閉了使用者帳戶控制（User Account Control，UAC）功能，它就能以木馬程式感染電腦。

資安新聞網站Bleeping Computer則下載了該病毒樣本，顯示在關閉UAC之後，WinRAR就能以管理員權限將解壓縮過後的惡意檔案存放在啟動資料夾，重新啟動電腦時惡意程式便會連結遠端伺服器以下載各種檔案，包含駭客常用的滲透測試工具Cobalt Strike Beacon，以利駭客自遠端存取使用者電腦。

WinRAR在得知相關漏洞之後，並沒有打算修補它，而是決定直接移除對ACE壓縮檔案的支援，但相關的變更僅存在於1月28日釋出的WinRAR 5.7 Beta版，資安社群亦預期會有愈來愈多的攻擊程式現身，意謂著WinRAR 5.61及以前版本的用戶正面臨巨大的安全風險。

資安專家建議WinRAR用戶可移除該軟體並改用其它解壓縮工具，或者也可採納由0patch團隊暫時提供的微修補解決方案。