安全研究 SECURITY SERVICE

WinRAR 压缩软件存在高危漏洞

发布时间: 2019-03-15
来源:
浏览数: 125


WinRAR是Windows平台上最为知名的解压缩软件,它能解压缩RAR、ZIP、7z、ACE等多种压缩格式的软件。目前该软件官网称其在全球有超过5亿用户。

2019年2月21日,互联网爆出了一个关于WinRAR存在19年的漏洞,利用该漏洞可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。


WinRAR 压缩软件存在高危漏洞


 

【漏 洞 综 述】   



该漏洞源于对文件的“filename”字段未进行充分的过滤,攻击者可利用该漏洞制作恶意ACE格式文件,当该文件被WinRAR解压缩的时候,能利用UNACEV2.dll文件中的路径遍历漏洞欺骗WinRAR将文件解压缩到攻击者指定的路径。甚至可以将恶意文件写入至开机启动项,导致代码执行。

目前,部分漏洞的验证工具已经公开,推测此后漏洞很有可能会被勒索软件或者恶意挖矿软件利用。此外WinRAR官方已经发布更新修复了该漏洞,为防止用户受到攻击,建议受该漏洞影响的WinRAR用户尽快采取修补措施。




危险等级:高危


CVE编号:CVE-2018-20250

CNNVD编号:CNNVD-201902-077

受影响版本: WinRAR < 5.70 Beta 1




【解 决 建 议】


检测与修复:

  • 搜索安装的解压软件安装目录下的UNACEV2.dll,如果存在则存在漏洞

  • Windows下用户立即下载最新版:

https://www.rarlab.com/download.htm;

    32位

http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

    64位:

http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

若用户无法立即升级版本,临时缓解方案:删除老版本WinRAR或者影响的软件安装目录中unacev2.dll文件

  • 参考:

https://research.checkpoint.com/extracting-code-execution-from-winrar/

https://mp.weixin.qq.com/s/lQRb-1WnstONWOkSIJbyQg


分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 6
    2020 - 08 - 11
    1、TeamViewer曝漏洞 计算机浏览特定网页即可被无密码入侵https://www.cnbeta.com/articles/tech/1013319.htm2、人脸信息灰色产业链引发关注 信息泄露或导致财产重大损失https://www.cnbeta.com/articles/tech/1013265.htm3、研究人员发现加州医院的未加密系统导致COVID-19患者个人资料遭泄露 https://www.cnbeta.com/articles/tech/1013191.htm4、Solidot | 恶意 Tor 出口节点如何利用用户https://www.solidot.org/story?sid=652035、GuLoader恶意软件下载器:利用“新冠肺炎”钓鱼到“顺丰速运”钓鱼https://www.freebuf.com/articles/terminal/244117.html
  • 点击次数: 12
    2020 - 05 - 06
    漏洞背景  近日,捷普安全实验室,监测到国外某安全团队披露了SaltStack存在认证绕过(CVE-2020-11651)和目录遍历(CVE-2020-11652)两个漏洞。具体分析如下。  影响版本  SaltStack SaltStack   漏洞分析  Ÿ   CVE-2020-11651(认证绕过漏洞):此漏洞由于ClearFuncs类没有正确地验证方法调用而导致。研究人员公布了_send_pub()、_prep_auth_info()利用方法,远程攻击者利用此漏洞无需认证即可调用_send_pub()及_prep_auth_info()方法。使用这些方法可以在Salt Master端服务器上检索到用户令牌,在Salt Minions端服务器上实现任意命令执行。Ÿ   CVE-2020-11652(目录遍历漏洞):此漏洞由于没有对访问路径进行正确过滤而导致,经过身份认证的攻击者利用此漏洞可以访问任意目录。  防御方案  使用捷普入侵防御系统(IPS)对漏洞进行检测;    使用捷普网络脆弱性智能评估系统(NVAS)对漏洞进行检测。  缓解措施 SaltStack 官方已发布新版本修复上述漏洞,请手动升级至SaltStack2019.2.4及3000.2版本;https://repo.saltstack.com配置安全策略,禁止 Salt Master的监听端口(默认4505 和 4506)对公网开放或只允许可信IP访问监听端口;参考:https://labs.f-secure.com/advisories/saltstack-authorization-bypass
  • 点击次数: 6
    2020 - 04 - 24
    漏洞背景  通达OA官方在4月17日发布了最新的通达OA11.5.200417版本该版本修复了若干安全问题。在对更新的补丁,对比分析发现此次更新主要重点是修复了用户可以通过构造UID=1等恶意请求,绕过认证进行任意用户登录,甚至可通过构造恶意攻击代码,成功登录系统管理员账户,对后台系统进行任意操作。根据网络空间搜索引擎进行数据统计,国内使用通达OA系统的用户统计如下表:  影响版本  通达OA系统Ver.  漏洞分析  在分析官方的的补丁时发现此次更新主要针对用户登录逻辑相关处理部分,在对源文件使用Zend5.4解密后发现。在对代码跟踪后发现,用户在进行进行认证时,首先进行CODEUID的逻辑判断,如存在继续进行UID的判断,此处UID可直接使用POST方法进行构造,默认1为Admin用户,以上两处均进行库操作。跟进代码,此处的CODEUID在访问某文件后可进行直接打印。此处可利用POST将UID进行传入。  防御方案 使用捷普网络脆弱性智能评估系统(NVAS)对漏洞进行检测。升级补丁,参考通达OA系统官网发布的补丁进行升级https://www.tongda2000.com/download/sp2019.php参考:https://www.tongda2000.com/download/sp2019.php
  • 点击次数: 43
    2020 - 04 - 07
    漏洞背景  近日,有消息称某黑客组织利用国内深信服SSL VPN设备漏洞,利用客户端升级漏洞下发恶意文件到用户客户端,威胁用户安全。对此,捷普安全实验室第一时间进行响应,并对相关攻击事件进行跟踪。2020年4月5日晚,深信服官方针对已确认遭受攻击的SSL VPN设备版本(M6.3R1版本、 M6.1版本)紧急发布修复补丁,并安排技术服务人员对受影响用户主动上门排查与修复。内容详见:https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw  漏洞分析   针对此次事件的相关设备——深信服SSL VPN,在对事件跟踪分析中发现,该漏洞存在于VPN客户端启动连接服务器时默认触发的一个升级行为,当用户使用启动VPN客户端连接VPN服务器时,客户端会从所连接的VPN服务器上固定位置的配置文件获取升级信息,并下载一个名为SangforUD.exe的程序执行。由于开发人员缺乏安全意识,整个升级过程存在安全漏洞,客户端仅对更新程序做了简单的版本对比,没有做任何的安全检查。攻击者利用深信服VPN设备的已知远程漏洞或弱口令获取对设备的控制。在修改VPN的升级配置文件,篡改升级包下载相关的配置信息,指向攻击者控制的恶意文件和对应文件MD5。利用此漏洞针对VPN用户定向散播后门程序。样本分析在对样本分析过程中,利用公开威胁情报获取到多个相关病毒样本SangforUD.exe,分析发现投递的恶意样本具备木马下载器功能,将内置加密的配置信息写入任务计划达到持久化攻击的效果,通过HTTP请求方式回传加密后的主机信息。其中HTTP提交的具备一定的特征,如固定的“----974767299852498929531610575”字符串,HTTP请求代码如下:恶意文件最终循环从C2服务器获取数据,并且保存文件到” \Ap...
  • 点击次数: 13
    2020 - 03 - 23
    漏洞背景  2020年3月18日,Adobe官方推出针对Adobe ColdFusion的安全更新补丁,编号为:APSB20-16.,补丁中包含了两个漏洞CVE-2020-3761(任意文件读取漏洞)和CVE-2020-3794(任意文件包含漏洞)。 2020年3月18日,Adobe官方推出针对Adobe ColdFusion的安全更新补丁,编号为:APSB20-16.,补丁中包含了两个漏洞CVE-2020-3761(任意文件读取漏洞)和CVE-2020-3794(任意文件包含漏洞),经捷普攻防实验室,验证测试发现漏洞真实存在,该漏洞相关信息可参考CVE-2020-1938 (Tomcat-Ajp协议任意文件读取漏洞&文件包含漏洞)。  漏洞描述  此次漏洞与CVE-2020-1938漏洞原因一致与Adobe ColdFusion的AJP connectors相关。Adobe ColdFusion在处理AJP协议的数据包时存在实现缺陷,导致相关参数可控。构造特定的数据包,进行测试发送即可。影响版本ColdFusion 2016 ColdFusion 2018 防御建议使用捷普网络脆弱性智能评估系统(NVAS)对漏洞进行检测。缓解措施升级补丁,参考Adobe官网发布的补丁进行升级:https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html备注:(在管理控制台内也可完成对其升级操作)。参考:https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务