9778818威尼斯官网赶紧更新WinRAR,需尽快升级

去年,Check Point Software 的安全研究人员发现了一个最流行解压软件WinRAR 的软件漏洞,导致黑客可以利用特定方式植入恶意文件。

去年,Check Point Software的安全研究人员发现了一个最流行解压软件WinRAR的软件漏洞,导致黑客可以利用特定方式植入恶意文件 。近日,该漏洞终于被外媒披露,并且有安全机构表示,已经发现有超过100个利用此漏洞进行攻击的方式。

WinRAR在享誉全球成为必备装机软件的同时,在过去19年中一直深受各种严重安全漏洞的负面影响。据Check Point安全研究员Nadav Grossman刚刚披露,他在WinRAR中发现了包括ACE文件验证逻辑绕过漏洞(CVE-2018-20250)、ACE文件名逻辑验证绕过漏洞(CVE-2018-20251)、ACE/RAR文件越界写入漏洞(CVE-2018-20252)以及LHA/LZH文件越界写入漏洞(CVE-2018-20253)在内的一系列漏洞。当前,全球有超过5亿用户受到WinRAR漏洞影响。

近日,国外安全研究人员披露,著名压缩软件 WinRAR 被曝高危漏洞,目前全球已有超过 5 亿用户受到影响。

近日,一名用户在Bitcoin reddit网站上发文称,WinRAR的一个通用版本上存在一个高危漏洞(代码:CVE-2018-20250),很可能会导致比特币被盗。

9778818威尼斯官网赶紧更新WinRAR,需尽快升级。9778818威尼斯官网赶紧更新WinRAR,需尽快升级。近日,该漏洞终于被外媒披露,并且有安全机构表示,已经发现有超过 100 个利用此漏洞进行攻击的方式。

9778818威尼斯官网 1

9778818威尼斯官网 2

据报道,在 WinRAR 的 UNACEV2.dll 代码库中发现严重安全漏洞,众多压缩工具支持 .ace 格式文件的解压缩,存在漏洞的 ACE 解压模块文件 unacev2.dll 创建于 2005 年,已经 14 年未更新。

9778818威尼斯官网 3

具体来说,该漏洞是利用的是 ACE 格式文件,此前因为 WinRAR 开发者失去了访问 UNACEV2.DLL 库源代码的权限,所以决定放弃对 ACE 文件格式的支持,于是漏洞产生了。

具体来说,该漏洞是利用的是ACE格式文件,此前因为WinRAR开发者失去了访问UNACEV2.DLL库源代码的权限,所以决定放弃对ACE文件格式的支持,于是漏洞产生了。

漏洞描述

黑客可利用该漏洞绕过权限提升直接运行 WinRAR,并将恶意文件放进 Windows 系统的启动文件夹中,只要用户重新开机恶意文件即自动运行,黑客便能 " 完全控制 " 受害者计算机。

据悉,该漏洞允许在打开RAR文件后将可执行代码插入系统,然后利用通用版本系统存在的bug植入“远控木马”,进而达到操纵者入侵的目的。这是一个已存在14年之久的bug,直到最近才被发现,不禁令人瞠目。

尽管在最新的 WinRAR 版本中修复了次漏洞,但还有数以千万级的用户未将 WinRAR 更新到最新版本,黑客得以利用此漏洞在 ACE 文件中嵌入恶意文件,安全人员演示了一种攻击方式,可以在 WinRAR 中解压的文件中植入,然后解压时其会在启动文件夹中创建一个恶意文件,每次重新启动计算机时都会执行该文件。

尽管在最新的WinRAR版本中修复了次漏洞,但还有数以千万级的用户未将WinRAR更新到最新版本,黑客得以利用此漏洞在ACE文件中嵌入恶意文件,安全人员演示了一种攻击方式,可以在WinRAR中解压的文件中植入,然后解压时其会在启动文件夹中创建一个恶意文件,每次重新启动计算机时都会执行该文件 。

WinRAR 为支持 ACE 压缩文件的解压缩功能,集成了一个具有 19 年历史的动态共享库 unacev2.dll。 而此共享库自 2006 年以来再未更新过,也未开启任何漏洞利用缓解技术。Nadav Grossman在unacev2.dll中发现的目录穿越漏洞,可允许攻击者绕过安全检查直接运行WinRAR,而且可以直接将恶意可执行程序解压到系统的开机启动文件夹中。这就意味着当用户下次重新开机的时候,这些恶意文件可自动运行,让攻击者“完全控制”受害者的计算机。

9778818威尼斯官网 4

远控木马如何植入用户电脑

所以一些黑客会将恶意文件和一些图片混在一起打包,然后引诱受害者从压缩包中提取它们。

9778818威尼斯官网 5

漏洞复现

腾讯电脑管家刚刚也发布预警,安全专家验证,该漏洞不仅仅存在于 WinRAR 5.7 之前的版本,网民日常使用的 Bandizip、2345 压缩、好压、totalcmd 等软件均存在该风险。

该远控木马病毒名为“Lime-RAT”,可通过修改配置信息或接受远控指令,对中毒电脑进行远程控制,甚至还会监视用户的剪贴板,在用户进行加密货币交易时侵入“窃币”,给用户资料和财产安全造成极大威胁。

目前预防这种攻击的方法是尽快将 WinRAR 更新至最新的 WinRAR 5.70 Beta 1 版本,大家可以前往 WinRAR 官网进行升级。

所以一些黑客会将恶意文件和一些图片混在一起打包,然后引诱受害者从压缩包中提取它们 。

一、环境要求Windows 操作系统WinRAR 5.61 以下

腾讯电脑管家建议用户升级压缩软件到最新版本,或者删除压缩解压软件安装目录下的 unacev2.dll 文件。

WinRAR高位漏洞的出现,使得攻击者可根据已披露的漏洞信息,绕过系统权限,刻意构造ACE格式的攻击文件,诱导用户打开,实现WinRAR软件的直接运行,并将恶意程序植入Windows系統的启动文件夹里,在电脑下次启动时,通过恶意软件实现对用户电脑的远程控制。

9778818威尼斯官网 6

目前预防这种攻击的方法是尽快将WinRAR更新至最新的WinRAR 5.70 Beta 1版本,大家可以前往WinRAR官网进行升级。

二、复现过程

只需要在压缩工具快捷方式的图标上点击鼠标右键,在弹出的菜单中选择 " 打开文件位置 " 即可跳转到压缩工具目录,将当前目录下的 unacev2.dll 文件手动删除即可。

正如该用户的发文所写:

9778818威尼斯官网 7

9778818威尼斯官网,漏洞证明使用我们获取的样本证明漏洞的存在,解压样本文件到当前文件夹。

以 WinRAR 为例操作:

“木马病毒的侵入步骤是:使用未修补版本的WinRAR打开错误的rar文件,并将恶意程序植入Windows启动文件夹中。这意味着在重新启动时,你将加载一个exe,继而被植入病毒。”

9778818威尼斯官网 8

9778818威尼斯官网 9

1、手动找到 WinRAR 的安装文件夹

某安全专家表示,“Lime-RAT”远控木马的运作基本上遵从上述逻辑。当用户使用存在高危漏洞的压缩/解压软件时,打开事先被攻击者刻意构造的压缩文件后,藏有恶意代码的文件便在此时进入系统。随后,用户系统就会被添加一个开机启动项,并生成一个每45分钟一次的定时启动任务。至此,“Lime-RAT”远控木马就被成功植入到用户电脑系统中,一旦用户电脑重新启动,远控木马就能成功运行。

9778818威尼斯官网 10

C盘中创建了证明漏洞存在的文件。

9778818威尼斯官网 11

9778818威尼斯官网 12

9778818威尼斯官网 13

9778818威尼斯官网 14

2、在 WinRAR 的文件夹中删除 unacev2.dll

如何防范病毒保护加密资产

9778818威尼斯官网 15

攻击过程复现

9778818威尼斯官网 16

此外,远控木马的蔓延速度很快,所以尽量不要在公共电脑上登录比特币账户,如果你已经有过登陆,务必要用软件杀毒。该高危漏洞是WinRAR处理ACE存档文件时引发的结果。相比之下,有些用户将加密资产存放在“冷钱包”里会相对安全。

9778818威尼斯官网 17

解压恶意的压缩文件,可将可执行程序解压到开机启动目录下。使用脚本生成恶意压缩文件test.rar

9778818威尼斯官网 18

9778818威尼斯官网 19

为防御攻击者入侵,广大用户应尽快将WinRAR更新到最新版本,或者直接删除现有WinRAR安装目录下的UNACEV2.DLL文件。此外,发现该漏洞的研究人员找到了一种方法:通过在电脑硬盘上不时移动漏洞来执行具有典型特权的操作。

右键解压到当前目录下之后,开机启动目录下生成了可执行文件

“WinRAR向来以对所有流行压缩格式的广泛支持而闻名。由于UNACEV2.DLL自2005年以后就没有更新过,并且无法访问其源代码,因此决定从WinRAR 5.70开始取消对ACE存档的支持。现在,在推出WinRAR 5.70的最终稳定版本之后,强烈建议立即升级到新的5.70版本。”

9778818威尼斯官网 20

目前,WinRAR软件已决定不再支持ACE文件。但鉴于其全球用户数估计超过5亿,所以其中仍有很多人在使用有漏洞的版本。截止本稿,据相关调查数据显示,可能至少还有1亿台计算机上有未修补版本的WinRAR。

重新启动计算机后,自动运行了可执行程序。

此次事件强调了加密货币安全性面临的一贯问题:加密资产的安全取决于其所处的环境。Windows在历史上是最不安全但最受欢迎的操作系统。如果一个人试图存储任何大量的加密货币,那么良好的安全实践是至关重要的。与以前黑客攻击最多只会带来麻烦的时代不同,加密时代意味着攻击者有直接的经济动机去破坏操作环境的任何方面。

9778818威尼斯官网 21

影响范围

该漏洞极易被利用,而且影响范围十分巨大。

几乎所有装有解压软件的Windows机器都会受到影响(目前只有安装了WinRaR官网beta版的可幸免,正式版也受影响)。该漏洞极有可能以勒索软件和挖矿木马等植入方式,被攻击者利用,进行批量攻击。

应急处置建议

针对本次WinRAR核心库路径穿越漏洞,华为未然实验室安全专家建议采用如下应急处置方案 :

方案一:边界防护-配置IPS阻断签名

已部署了华为下一代防火墙的用户,请确保开启IPS功能,并将入侵防御特征库升级到最新版本。针对利用WinRAR漏洞的文件传输,华为下一代防火墙将直接实施阻断。

方案二:沙箱联动防火墙-升级沙箱高级静态检测引擎及内容检测引擎

对于部署华为Firehuntrer沙箱的用户,请根据沙箱版本更新对应的高级静态检测引擎及内容检测引擎,配合下一代防火墙的APT防御功能进行联动处置防御。

方案三:用户主机侧防护使用7zip等替代压缩工具。使用WinRAR软件的用户,尽快对当前使用软件进行版本升级,链接如下:

本文由9778818威尼斯官网发布于威尼斯官网,转载请注明出处:9778818威尼斯官网赶紧更新WinRAR,需尽快升级

您可能还会对下面的文章感兴趣: