WinRAR 曝 19 年前重大漏洞,可完全控制电脑!| 附解决方法

白俊遥博客

整理 | 琥珀

出品 | AI科技大本营(ID:rgznai100)


作为目前最受欢迎的电脑解压缩工具之一,WinRAR 号称在全球拥有 5 亿用户。不过最近的情况表明,如果你正在使用这款软件,建议立即升级到 5.70 Beta 1 版本,否则将有可能受到攻击者利用 WinRAR 的代码执行漏洞进行的对计算机的控制。


近日,安全公司 Check Point 安全研究员 Nadav Grossman 在一篇文中披露,WinRAR 中存在严重漏洞,可完全控制受害者的计算机。而且,该漏洞已经存在了近 19 年,并迫使 WinRAR 完全放弃对易受攻击 ACE 格式的支持。


白俊遥博客


传送门:

https://research.checkpoint.com/extracting-code-execution-from-winrar/


目前这个漏洞存在于 WinRAR 的 UNACEV2.dll 代码库中,该代码库用于解析 ACE 格式,在解压处理的过程中存在一处目录穿越漏洞,允许解压过程中将文件写入启动文件夹中,导致系统重启后导致代码执行。然后,攻击者可制作一个 ACE 恶意文件,当被 WinRAR 打开时,会利用 UNACEV2.dll 的目标路径,将文件解压到攻击者选择的路径中。视频演示如下:




值得一提的是,早在此前,针对这种类型的漏洞,Zerodium 还给出了漏洞悬赏计划。


白俊遥博客


研究人员在文中具体介绍了 WinRAR 代码执行漏洞的发现过程。几个月前,他们先利用 Winafl fuzz 对 Windows 环境下的二进制文件进行了模糊测试。


传送门:https://github.com/googleprojectzero/winafl


以下为准备过程:


  1. 在 WInRAR 注函数内创建 hareness,使其能够模糊任何存在当类型而无需为每种格式构造单独的 harness;

  2. 消除用户交互的对话框等 GUI 元素;

  3. 使用奥卢大学 2005 年左右进行的一项有趣研究发布的超大型语料库;

  4. 在 WinRAR 命令行模式下使用 WinAFL 对程序进行模糊处理。


通过以上操作后,研究人员发现了 RAR、LZH、ACE 等压缩格式的崩溃,并且在解析 ACE 格式的崩溃时,WinRAR 使用名为 unacev2.dll 的 dll 来解析 ACE 格式文件。这个 dll 从 2006 年起就没有保护机制。


在漏洞利用过程中,研究人员试图将 ACE 恶意文件放到启动文件夹中以便在系统启动时执行。


示例:


研究人员将 .ace 扩展名更改为 .rar 扩展名,因为 WinRAR 会根据文件内容而不是扩展名测试格式。


下图为 acefile 的输出:


白俊遥博客

通过文件名字段中精心构造的字符串(绿色部分)触发漏洞


无论目标文件夹的路径是什么,该存档都将解压缩到 C:\some_folder\some_file.txt


那么真实的漏洞利用过程是怎样的?


研究人员表示,可以通过从 ACE 存档中提取压缩的可执行文件到其中一个启动文件夹(Startup Folders),从而获得代码执行。


制作一个将压缩文件提取到启动文件夹的 ACE 存档,在以下路径中至少有 2 个启动文件夹:


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

C:\Users\<用户名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup


第一个启动文件夹的路径需要高权限/高完整性级别。但是,WinRAR 默认以中等完整性级别运行。


第二个启动文件夹的路径需要知道用户的名称。


不过,研究人员向 WinRAR 报告这个代码执行漏洞之后, WinRAR 官方也对此进行了回应表示,目前给出的修复方法就是从软件包中删除 UNACEV2.dll,或者可以下载最新的 5.70 Beta 1 版本。


由于 UNACEV2.dll 自 2005 年以来就没有更新,尚无法访问其源代码,因此对于使用这个库来压缩 ACE 格式的用户来说,官方表示只能放弃对其支持。


白俊遥博客

官网默认下载的 5.61 版本并非最新版本


WinRAR 5.70 Beta 1 下载地址如下:


32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe


相关链接:

https://research.checkpoint.com/extracting-code-execution-from-winrar/


老刘博客
请先登录后发表评论
  • 最新评论
  • 总共0条评论
  • 老刘博客 laoliu.pro © 2018-2019 版权所有
  • 辽ICP备19003301号-1