【漏洞预警】WinRAR存在系列远程代码执行漏洞易导致服务器被入侵 安全优化


漏洞事件背景

WinRAR 是一款功能强大的压缩包管理器,它是档案工具RAR在Windows环境下的图形界面。该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 Internet 上下载的RAR、ZIP及其它类型文件,并且可以新建 RAR 及 ZIP 格式等的压缩类文件。

2019年 2 月 20 日国外安全研究员Nadav Grossman发布了Winrar一个严重的Path Traversal漏洞。该问题出现在WinRAR使用的一个陈旧的动态链接库UNACEV2.DLL所造成的,这个动态库没有任何基础保护机制。这个动态链接库的作用是处理ACE格式文件,在解压处理的过程中存在一处目录穿越漏洞,通过这个漏洞黑客可以将恶意文件解压到用户系统指定目录(例如自动启动目录),当计算机重新启动时即可自动执行恶意程序,获取目标主机的权限,或者覆盖用户主机上的文件,dll劫持。

影响版本

1、发布时间早于5.70 Beta 1版本的WinRAR软件;

2、使用unacev2.dll动态共享库的解压、文件管理类工具软件。

WinRAR < 5.70 Beta 1

Bandizip < = 6.2.0.0

好压(2345压缩) < = 5.9.8.10907

360压缩 < = 4.0.0.1170

下图为ACE文件解压时释放恶意文件到开机启动项目录的情景复现。


修复方法

1. 查找WinRAR安装目录下,删除受影响压缩软件目录下UNACEV2.dll文件

2. 下载安装使用最新的Winrar 5.70 Beta1 以上版本

32位下载:https://www.win-rar.com/fileadmin/winrar-versions/wrar57b2tc.exe

64位下载:https://www.win-rar.com/fileadmin/winrar-versions/winrar-x64-57b2tc.exe


相关参考公告

CNVD:关于WinRAR存在系列远程代码执行漏洞的安全公告:http://www.cnvd.org.cn/webinfo/show/4903


本帖转载自:蓝队云《【漏洞预警】WinRAR存在系列远程代码执行漏洞易导致服务器被入侵

签名:上善若水,水善利万物而不争。
最新回复 (0)
    • 代码信条-CodeCreed
      2
        立即登录 立即注册 QQ登录
返回
首页
开发
源码
运维
我的