可完全控制電腦(可完全控制電腦屏幕)
整理 | 琥珀出品 | AI科技大本營(ID:rgznai100)作為目前最受歡迎的電腦解壓縮工具之一,WinRAR 號稱在全球擁有 5 億用戶。不過最近的情況表明,如果你正在使用這款軟件,建議立即升級到 5.70 Beta 1 版本,否則將有可能受到攻擊者利用 WinRAR 的代碼執(zhí)行漏洞進(jìn)行的對計(jì)算機(jī)的控制。
近日,安全公司 Check Point 安全研究員 Nadav Grossman 在一篇文中披露,WinRAR 中存在嚴(yán)重漏洞,可完全控制受害者的計(jì)算機(jī)。而且,該漏洞已經(jīng)存在了近 19 年,并迫使 WinRAR 完全放棄對易受攻擊 ACE 格式的支持。
傳送門:https://research.checkpoint.com/extracting-code-execution-from-winrar/目前這個漏洞存在于 WinRAR 的 UNACEV2.dll 代碼庫中,該代碼庫用于解析 ACE 格式,在解壓處理的過程中存在一處目錄穿越漏洞,允許解壓過程中將文件寫入啟動文件夾中,導(dǎo)致系統(tǒng)重啟后導(dǎo)致代碼執(zhí)行。攻擊者可制作一個 ACE 惡意文件,當(dāng)被 WinRAR 打開時,會利用 UNACEV2.dll 的目標(biāo)路徑,將文件解壓到攻擊者選擇的路徑中。視頻演示如下:
值得一提的是,早在此前,針對這種類型的漏洞,Zerodium 還給出了漏洞懸賞計(jì)劃。
研究人員在文中具體介紹了 WinRAR 代碼執(zhí)行漏洞的發(fā)現(xiàn)過程。幾個月前,他們先利用 Winafl fuzz 對 Windows 環(huán)境下的二進(jìn)制文件進(jìn)行了模糊測試。
傳送門:https://github.com/googleprojectzero/winafl以下為準(zhǔn)備過程:
在 WInRAR 注函數(shù)內(nèi)創(chuàng)建 hareness,使其能夠模糊任何存在當(dāng)類型而無需為每種格式構(gòu)造單獨(dú)的 harness。
消除用戶交互的對話框等 GUI 元素。
使用奧盧大學(xué) 2005 年左右進(jìn)行的一項(xiàng)有趣研究發(fā)布的超大型語料庫。
在 WinRAR 命令行模式下使用 WinAFL 對程序進(jìn)行模糊處理。
通過以上操作后,研究人員發(fā)現(xiàn)了 RAR、LZH、ACE 等壓縮格式的崩潰,并且在解析 ACE 格式的崩潰時,WinRAR 使用名為 unacev2.dll 的 dll 來解析 ACE 格式文件。這個 dll 從 2006 年起就沒有保護(hù)機(jī)制。
在漏洞利用過程中,研究人員試圖將 ACE 惡意文件放到啟動文件夾中以便在系統(tǒng)啟動時執(zhí)行。
示例:
研究人員將 .ace 擴(kuò)展名更改為 .rar 擴(kuò)展名,因?yàn)?WinRAR 會根據(jù)文件內(nèi)容而不是擴(kuò)展名測試格式。
下圖為 acefile 的輸出:
通過文件名字段中精心構(gòu)造的字符串(綠色部分)觸發(fā)漏洞
無論目標(biāo)文件夾的路徑是什么,該存檔都將解壓縮到 C:\some_folder\some_file.txt
那么真實(shí)的漏洞利用過程是怎樣的?
研究人員表示,可以通過從 ACE 存檔中提取壓縮的可執(zhí)行文件到其中一個啟動文件夾(Startup Folders),從而獲得代碼執(zhí)行。
制作一個將壓縮文件提取到啟動文件夾的 ACE 存檔,在以下路徑中至少有 2 個啟動文件夾:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUpC:\Users\<用戶名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup第一個啟動文件夾的路徑需要高權(quán)限/高完整性級別。但是,WinRAR 默認(rèn)以中等完整性級別運(yùn)行。
第二個啟動文件夾的路徑需要知道用戶的名稱。
不過,研究人員向 WinRAR 報(bào)告這個代碼執(zhí)行漏洞之后, WinRAR 官方也對此進(jìn)行了回應(yīng)表示,目前給出的修復(fù)方法就是從軟件包中刪除 UNACEV2.dll,或者可以下載最新的 5.70 Beta 1 版本。
由于 UNACEV2.dll 自 2005 年以來就沒有更新,尚無法訪問其源代碼,因此對于使用這個庫來壓縮 ACE 格式的用戶來說,官方表示只能放棄對其支持。
官網(wǎng)默認(rèn)下載的 5.61 版本并非最新版本
WinRAR 5.70 Beta 1 下載地址如下:
32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe相關(guān)鏈接:
