解压缩软件应是最常用到的工具之一,不论下载或上传大档案,使用者都需透过工具压缩或解压缩目标档案。就因解压缩软件的重要性,自然成为骇客动歪脑筋的对象。日前知名 WinRAR 试用版解压缩软件发现新安全漏洞,远端攻击者可经由漏洞,在目标电脑执行恶意程式等任意程式码,提高电脑遭入侵劫持的程度。
5.70 才刚修复漏洞,又见全新 RCE 漏洞
解压缩软件是电脑必备工具之一,WinRAR 则是最受欢迎的解压缩软件,热门工具软件会成为骇客利用的对象也是意料中事。2019 年 2 月下旬,WinRAR 就惊爆有个潜伏近 14 年的重大漏洞,允许骇客远端执行任意程式码。WinRAR 发布 5.70 Beta 1 测试版软件后,终于补好这漏洞。
讽刺的是,5.70 版修复漏洞后不久,俄罗斯漏洞安全方案供应商 Positive Technologies 旗下 PT SWARM 部门 Web 应用程序安全专家 Igor Sak-Sakovskiy,又在 5.70 版发现全新远端程式码执行(Remote Code Execution,RCE)漏洞,日前于官方部落格发表文章。漏洞正式公告编号为 CVE-2021-35052。
RARLab 早在今年 6 月 14 日 6.02 版 WinRAR 软件修复全新漏洞,但 Sak-Sakovskiy 仍在 10 月 20 日在公司官网发布此漏洞的官方部落格贴文,尽管他没有解释为什么现在仍提及 4 个月前就修好的漏洞,推测可能与大部分使用者仍未更新最新版 WinRAR 有关,所以 Sak-Sakovskiy 才又再度发文警告使用者。毕竟解压缩软件更新前后差异感不大,致使许多使用者比较没有更新解压缩软件的习惯与急迫感。
拦劫及修改回应码,骇客便能入侵电脑
Sak-Sakovskiy 指出,新漏洞能让攻击者拦劫并修改系统发送给应用程序使用者的请求,进而在受害者电脑实行 RCE 攻击。进一步当 WinRAR 免费试用期结束时,会透过“notifier.rarlab[.]com”警告使用者,这时攻击者拦截发送的回应程式码,并修改成“301 Moved Permanently”重定向回应码,针对所有后续请求,将重定向快取到攻击者控制的恶意网域。
更重要的是,已能存取相同网域的攻击者,便能透过 ARP 诈骗攻击,远端启展开启动应用程序、检索本地主机资讯,甚至执行任意程式码等攻击行为。
根决之道:网络存取控制解决方案
对企业最棘手的是,WinRAR 漏洞问题突显第三方软件的安全管控问题。一旦第三方软件安装,就能取得读、写与修改电脑装置资料的权限,且这些电脑装置能连结公司网络,骇客可能借此步步入侵公司网络。
面对 WinRAR 等第三方软件漏洞,除了立即修补或更新到修好漏洞的最新版软件,最根本解决之道就是导入控制不同人员及应用程序权限的解决方案。
- Bug in Popular WinRAR Software Could Let Attackers Hack Your Computer
(首图来源:RARLab)