WinRAR目录穿越漏洞预警

  • 来源:深信服安全中心
  • 发布时间:2019-02-21
#

事件描述

2019年2月20日,Check Point公布了之前向WinRAR报告的几个安全漏洞,攻击者可利用该漏洞制作恶意ACE格式文件,当该文件被WinRAR解压缩的时候,能利用UNACEV2.dll中的路径遍历漏洞欺骗WinRAR将文件解压缩到攻击者指定的路径。使用该漏洞将恶意文件释放到启动文件夹中能使系统在启动时执行恶意程序。

深信服安全团队第一时间响应并发布预警信息,并将持续跟踪事态进展。


WinRAR组件介绍

UNACE.DLL是WinRAR所使用的一个陈旧的动态链接库,用于处理ACE格式的文件,该动态链接库在2006年被编译,没有任何防护措施。


漏洞描述

WinRAR在解压处理ACE格式的文件的过程中存在一处目录穿越漏洞,该漏洞允许解压过程中向任意目录写入文件,利用该漏洞可以向开机启动目录中写入恶意文件导致机器开机时执行恶意代码。


漏洞复现

安装的WinRAR版本

图片1.png

存在漏洞的组件UNACEV2.DLL版本

图片2.png 

解压恶意ACE文档前的目录结构

图片3.png 

解压恶意文档

图片4.png

执行解压缩之后的目录结构

图片5.png

影响范围

WinRAR < 5.70 Beta 1
参考链接

https://research.checkpoint.com/extracting-code-execution-from-winrar/?tdsourcetag=s_pcqq_aiomsg 


解决方案

修复建议

更新到WinRAR最新版本 5.70 Beta 1

下载地址如下

32位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe