WinRAR被披露核心库路径穿越漏洞,华为未然实验

图片 1

图片 2

漏洞描述

由于此次披露的WinRAR高危漏洞源于至今14年以来,未曾更新UNACEV2.dll的代码库,因此WinRAR 5.7之前的较低版本成为攻击者进行恶意传播的“主战场”。据了解,WinRAR高危漏洞的出现使得攻击者可根据已披露的漏洞信息,绕过系统权限,刻意构造ACE格式的攻击文件,诱导用户打开,实现WinRAR软件的直接运行,并可将恶意程序植入至Windows系统启动文件夹内,在电脑下次启动时,通过恶意软件实现对用户电脑的远程控制。

右键解压到当前目录下之后,开机启动目录下生成了可执行文件

(图:内藏Lime-RAT挖矿木马恶意压缩包)

WinRAR在享誉全球成为必备装机软件的同时,在过去19年中一直深受各种严重安全漏洞的负面影响。据Check Point安全研究员Nadav Grossman刚刚披露,他在WinRAR中发现了包括ACE文件验证逻辑绕过漏洞(CVE-2018-20250)、ACE文件名逻辑验证绕过漏洞(CVE-2018-20251)、ACE/RAR文件越界写入漏洞(CVE-2018-20252)以及LHA/LZH文件越界写入漏洞(CVE-2018-20253)在内的一系列漏洞。当前,全球有超过5亿用户受到WinRAR漏洞影响。

腾讯电脑管家安全专家表示,Lime-RAT远控木马的运作基本遵从上述逻辑。当用户使用存有高危漏洞的压缩/解压软件,打开事先被攻击者刻意构造的压缩文件后,携有恶意代码的文件便在此时进入系统。随后,用户系统就会被添加一个开机启动项并生成了一个每45分钟一次的定时启动任务。至此,Lime-RAT远控木马就被成功植入到用户电脑系统中,一旦用户电脑重新启动,远控木马就能成功运行。

影响范围

此外,广大用户应尽快将WinRAR更新到最新版本,或者直接删除现有WinRAR安装目录下的UNACEV2.DLL文件,可有效防御攻击者入侵。腾讯电脑管家后续将密切关注“Lime-RAT”远控木马的相关进展动态,尽可能高效地为用户提供解决和防御方案。

解压恶意的压缩文件,可将可执行程序解压到开机启动目录下。使用脚本生成恶意压缩文件test.rar

作为Windows平台一款简单而强大的远程木马,一旦Lime-RAT被触发,攻击者就可对用户电脑进行文件加密勒索、挖矿和下载其他恶意组件等远程操作,对用户信息安全造成极大危害。值得一提的是,Lime-RAT木马还可实现对剪切板的监视,当发现用户主机在进行数字货币交易时,通过替换钱包地址的方式达到“抢钱”的目的,对从事数字加密货币交易和比特币矿工人员来说构成严重威胁。

对于部署华为Firehuntrer沙箱的用户,请根据沙箱版本更新对应的高级静态检测引擎及内容检测引擎,配合下一代防火墙的APT防御功能进行联动处置防御。

图片 3

方案一:边界防护-配置IPS阻断签名

全球经典压缩包管理器——WinRAR被曝发现高危远程代码执行漏洞以来,这些高危漏洞已然成为不少网络攻击者“钻空作案”的“新宠”。近日,腾讯安全御见威胁情报中心监测发现,一款名为“Lime-RAT”的远控木马正通过WinRAR高危漏洞(CVE-2018-20250)进行恶意传播。该木马可通过修改配置信息或者接收远程指令,对中毒电脑实行远程控制,甚至还会监视用户的剪切板,在用户进行数字货币交易时实施“打劫”,给用户信息和财产安全构成极大威胁。

图片 4

(图:腾讯电脑管家全面拦截并查杀该病毒)

重新启动计算机后,自动运行了可执行程序。

目前,腾讯电脑管家已实现对该木马进行全面拦截并查杀,建议用户及时防范。

图片 5

当前,隐藏于压缩文件WinRAR漏洞中的病毒木马攻击活动仍较活跃,给使用者带来一定的安全隐患。如何有效抵御不法黑客攻击?腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大用户,警惕来历不明的压缩文件,切勿随意打开未知文件,并建议使用腾讯电脑管家等安全软件对下载文件进行实时监测与查杀,可直接防御该类木马入侵。

方案三:用户主机侧防护使用7zip等替代压缩工具。使用WinRAR软件的用户,尽快对当前使用软件进行版本升级,链接如下: https://www.win-rar.com/download.html由于WinRAR官方回复此漏洞是由于第三方库unacev2.dll造成的安全漏洞,用户也可通过判断软件安装目录下是否存在unacev2.dll文件,来确认其它解压类软件是否受到影响。不轻易打开未知来源的rar压缩文件。

已部署了华为下一代防火墙的用户,请确保开启IPS功能,并将入侵防御特征库升级到最新版本。针对利用WinRAR漏洞的文件传输,华为下一代防火墙将直接实施阻断。

攻击过程复现

本文由优信彩票购彩大厅发布于互联网资讯,转载请注明出处:WinRAR被披露核心库路径穿越漏洞,华为未然实验

您可能还会对下面的文章感兴趣: