請立即檢查,WinRAR驚現遠程代碼執行漏洞

2021-12-22 FreeBuf

據security affairs消息,網絡安全專家Igor Sak-Sakovskiy發現了WinRAR的一個遠程代碼執行漏洞,漏洞編號CVE-2021-35052。

該漏洞出現在WinRAR的Windows試用版本,漏洞版本為5.70,黑客可利用該漏洞遠程攻擊計算機系統。

Igor Sak-Sakovskiy表示,「這個漏洞允許攻擊者攔截和修改系統發送給用戶的請求,這樣就可以在用戶電腦上實現遠程代碼執行(RCE)。我們也是在WinRAR 5.70 版中偶然發現了這個漏洞。」

安全專家在安裝了WinRAR後,發現它存在一個JavaScript 錯誤,具體表現形式是,在瀏覽器中彈出下圖這樣的錯誤窗口。

經過一系列的測試之後,安全專家發現軟體試用期滿後,軟體會開始顯示錯誤消息,基本上是每三次執行一次。這個彈出「錯誤顯示」的窗口是通過系統文件mshtml.dll報錯來實現,它和WinRAR一樣,都是用 Borland的 C++語言編寫的。

安全專家使用Burp Suite作為默認的Windows代理,以此攔截消息顯示時生成的流量。

WinRAR在軟體試用期結束後,會通過「notifier.rarlab[.]com」來提醒用戶,安全專家在分析了發送給用戶的響應代碼後發現,攻擊者會把提醒信息修改成「301永久移動」的重定向消息,這樣就可以將後續所有的請求緩存重定向到惡意域中。

安全專家還注意到,當攻擊者可以訪問同一網絡域之後,就會發起ARP欺騙攻擊,以便遠程啟動應用程式,檢索本地主機信息並執行任意代碼。

隨後,我們試圖攔截、修改WinRAR發送給用戶的反饋信息,而不是去攔截和更改默認域,讓「notifier.rarlab.com」每次都響應我們的惡意內容。我們進一步發現,如果如果響應代碼被更改為「301永久移動」,並重定向緩存到我們的「attacker.com」惡意域,這樣所有的請求都會轉到「attacker.com」。

最後,安全專家指出,第三方軟體中的漏洞會對企業和組織產生嚴重風險。這些漏洞的存在,可以讓攻擊者訪問系統的任何資源,甚至是訪問託管網絡中的所有資源。

「在安裝應用程式之前,我們不可能確保每一個程序都沒問題,因此用戶的策略對於外部應用程式的風險管理至關重要,以及如何平衡應用程式的業務需求和安全風險,也依賴於用戶的選擇。如果使用、管理不當,很有可能會產生非常嚴重的後果。」

參考來源:

https://securityaffairs.co/wordpress/123652/hacking/winrar-trial-flaw.html

相關焦點

  • 【漏洞通告】WinRAR遠程代碼執行漏洞(CVE-2021-35052)
    0x00 漏洞概述CVE     IDCVE-2021-35052時
  • WinRAR遠程代碼執行漏洞結合Metasploit+Ngrok實現遠程上線
    ,被發現漏洞是「WinRAR」安裝目錄中的一個名為「UNACEV2.dll」的動態連結庫文件,該文件自 2005 年發布至今就從未有過更新過,影響時長長達十餘年之久。漏洞細節: https://research.checkpoint.com/extracting-code-execution-from-winrar/
  • WinRAR代碼執行漏洞EXP附利用視頻
    WinRAR 是一款流行的解壓縮工具,據其官網上發布的數據,全球有超過5億的用戶在使用2019年2月20日,安全廠商 checkpoint 發布了名為《Extracting a 19 Year old code Execution from WinRAR》的文章,文章披露了一個存在於 winRAR 中用於 ace 文件解析的 DLL 模塊中的絕對路徑穿越漏洞
  • 【注意】隱藏了19年的WinRAR代碼執行漏洞被發現
    最近,WinRAR在過去19年中受到各種嚴重安全漏洞的負面影響。根據安全公司Check Point的研究人員披露的詳細信息,Winrar的uncev2.dll中發現了嚴重的安全漏洞,該漏洞自2005年以來一直沒有得到積極更新。此缺陷允許熟練的攻擊者在打開精心編制的文件後執行任何惡意代碼。
  • 漏洞通告丨SMBv3協議遠程代碼執行漏洞
    微軟公告了最新的SMBv3遠程代碼執行漏洞,山石網科針對此漏洞已經發布防護特徵
  • 漏洞預警 | Zimbra 遠程代碼執行漏洞
    3 月 13 日, 國外安全研究員 tint0 發布了一篇博客,指出 Zimbra Collaboration Server 系統全版本存在一系列漏洞,通過惡意利用可以導致遠程代碼執行漏洞。,從而達到遠程代碼執行的危害。
  • Zend Framework遠程執行代碼漏洞
    Zend Framework出現漏洞已經不是第一次了,早在2012年,WooYun就曝出了Zend Framework(ZF)框架中的XMLRPC模塊存在xxe(XML external entity)注入漏洞,攻擊者可藉此讀取伺服器上的任意文件,包括密碼文件及PHP原始碼。當時200餘家網站存在這一漏洞,知名開源建站平臺Magento等使用ZF框架的建站系統也受該漏洞影響。
  • 【漏洞預警】天融信關於WinRAR < 5.70遠程代碼執行漏洞預警
    最近某安全公司發現WinRAR存在一處安全漏洞,該漏洞利用僅通過提取存檔,並使超過5億用戶面臨風險。此漏洞已存在超過19年並迫使WinRAR完全放棄對易受攻擊的文件格式的支持。0x01漏洞描述ACE 文件屬於一種類似於RAR的文件歸檔格式。
  • WinRAR 曝出代碼執行漏洞,你的官方中文無廣告版該升級了
    不過這款軟體最近卻被曝出了一個有19年歷史的代碼執行漏洞。WinRAR 宣稱在全球擁有超過5億的用戶,目前看來,這些用戶都將面臨安全風險。根據安全公司 Check Point 研究人員披露的細節,這個代碼執行漏洞存在於第三方庫 UNACEV2.DLL 中,它從2005年起就沒有再更新過了。
  • 關於Drupal core遠程代碼執行漏洞的安全公告
    遠程代碼執行漏洞(CNVD-2018-06660,對應CVE-2018-7600)。綜合利用上述漏洞,攻擊者可實現遠程代碼執行攻擊。目前,漏洞細節尚未公開。一、漏洞情況分析Drupal是一個由Dries Buytaert創立的自由開源的內容管理系統,用PHP語言寫成。在業界Drupal常被視為內容管理框架,而非一般意義上的內容管理系統。
  • Samba遠程代碼執行漏洞(CVE-2017-7494)分析
    2017年5月24日Samba發布了4.6.4版本,中間修復了一個嚴重的遠程代碼執行漏洞,漏洞編號CVE-2017-7494,漏洞影響了Samba 3.5.0 之後到4.6.4/4.5.10/4.4.14中間的所有版本。360網絡安全中心 和 360信息安全部的Gear Team第一時間對該漏洞進行了分析,確認屬於嚴重漏洞,可以造成遠程代碼執行。
  • Apache Struts2 遠程代碼執行漏洞CVE-2019-0230
    Struts2在某些標籤屬性中使用OGNL表達式時,因為沒有做內容過濾,在傳入精心構造的請求時,可以造成OGNL二次解析,執行指定的遠程代碼。漏洞名稱:Apache Struts2遠程代碼執行漏洞CVE-2019-0230威脅等級:高危影響範圍:Struts 2.0.0 - 2.5.20漏洞類型:遠程代碼執行Apache Struts2
  • Cisco WebEx遠程代碼執行漏洞
    其實遠程代碼執行漏洞非常普遍,研究人員在Cisco的WebEx在線和視頻協作軟體中發現一個不同尋常的遠程代碼執行漏洞。
  • 華碩路由器遠程代碼執行漏洞通告
    2020年08月03日, 360CERT監測發現 業內安全廠商 發布了 華碩RT-AC系列路由器遠程代碼執行 的風險通告,漏洞等級:高危,漏洞評分:8.3分華碩AC系列路由器 存在 緩衝區溢出漏洞,遠程攻擊者 通過 向受影響的設備發送特製數據包,可以造成 遠程代碼執行 的影響。
  • 【漏洞通告】XStream遠程代碼執行漏洞 CVE-2020-26217
    XStream官方在11月16日發布XStream遠程代碼執行漏洞詳細信息,CVE編號為CVE-2020-26217,漏洞危害性高。此漏洞是CVE-2013-7285漏洞的變體,攻擊者向XStream發送精心構造的XML格式數據,繞過XStream的黑名單防禦,在目標伺服器中執行任意代碼。
  • 漏洞預警 | CredSSP 遠程代碼執行
    2018年3月13日,微軟發布了本月安全補丁(KB4088787),其中包含了CredSSP遠程代碼執行漏洞(CVE-2018-0886)的補丁更新。該漏洞由安全公司Preempt的研究人員發現。CredSSP是一種用於傳輸安全憑證的網絡協議,通常在Windows遠程桌面(RDP)或Windows遠程管理(WinRM)中使用。
  • 【漏洞預警】微軟遠程桌面服務遠程代碼執行漏洞(CVE-2019-0708)預警通告
    TAG:微軟、遠程桌面服務、Remote Desktop Service、遠程代碼執行、CVE-2019-0708危害等級:高,此次影響微軟遠程桌面服務,可造成遠程代碼執行,請儘快安裝更新補丁,修復此漏洞。
  • 【漏洞通告】Apache遠程代碼執行漏洞(CVE-2021-42013)
    2021年 10 月 7 日,Apache 軟體基金會發布了Apache HTTP Server 2.4.51 ,以修復 Apache HTTP Server 2.4.49 和 2.4.50 中的路徑遍歷和遠程代碼執行漏洞(CVE-2021-41773、CVE-2021-42013),目前這些漏洞已被廣泛利用。
  • 【安全風險通告】Windows DNS Server遠程代碼執行漏洞安全風險通告
    本月,微軟共發布123個漏洞的補丁程序,其中包括一枚Windows DNS Server遠程代碼執行漏洞(CVE-2020-1350)。
  • Adobe Flash Player發布更新解決遠程代碼執行漏洞
    ,該漏洞可允許惡意網站在您的計算機上執行代碼。據Adobe APSB18-44發布的公告稱,該漏洞CVE ID為CVE-2018-15981,是一種可用於執行遠程代碼的類型混亂安全漏洞。也就是說,攻擊者可創建惡意SWF文件,並將其託管在網站上,易受攻擊的訪問者瀏覽該網站時便會受其感染。藉此,攻擊者可在訪問者電腦上執行任何命令,如下載與安裝惡意軟體。