解压缩软件应是最常用到的工具之一,不论下载或上传大文件,用户都需通过工具压缩或解压缩目标文件。就因解压缩软件的重要性,自然成为黑客动歪脑筋的对象。日前知名WinRAR试用版解压缩软件发现新安全漏洞,远程攻击者可经由漏洞,在目标计算机执行恶意程序等任意程序代码,提高计算机遭入侵劫持的程度。
5.70才刚修复漏洞,又见全新RCE漏洞
解压缩软件是计算机必备工具之一,WinRAR则是最受欢迎的解压缩软件,热门工具软件会成为黑客利用的对象也是意料中事。2019年2月下旬,WinRAR就惊爆有个潜伏近14年的重大漏洞,允许黑客远程执行任意程序代码。WinRAR发布5.70 Beta 1测试版软件后,终于补好这漏洞。
讽刺的是,5.70版修复漏洞后不久,俄罗斯漏洞安全方案供应商Positive Technologies旗下PT SWARM部门Web应用程序安全专家Igor Sak-Sakovskiy,又在5.70版发现全新远程程序代码执行(Remote Code Execution,RCE)漏洞,日前于官方博客发布文章。漏洞正式公告编号为CVE-2021-35052。
RARLab早在今年6月14日6.02版WinRAR软件修复全新漏洞,但Sak-Sakovskiy仍在10月20日在公司官网发布此漏洞的官方博客贴文,尽管他没有解释为什么现在仍提及4个月前就修好的漏洞,推测可能与大部分用户仍未更新最新版WinRAR有关,所以Sak-Sakovskiy才又再度发文警告用户。毕竟解压缩软件更新前后差异感不大,致使许多用户比较没有更新解压缩软件的习惯与急迫感。
拦劫及修改回应码,黑客便能入侵计算机
Sak-Sakovskiy指出,新漏洞能让攻击者拦劫并修改系统发送给应用程序用户的请求,进而在受害者计算机实行RCE攻击。进一步当WinRAR免费试用期结束时,会通过“notifier.rarlab“.”com”警告用户,这时攻击者拦截发送的回应程序代码,并修改成“301 Moved Permanently”重定向回应码,针对所有后续请求,将重定向缓存到攻击者控制的恶意域名。
更重要的是,已能访问相同域名的攻击者,便能通过ARP诈骗攻击,远程启展打开动应用程序、检索本地主机信息,甚至执行任意程序代码等攻击行为。
根决之道:网络访问控制解决方案
对企业最棘手的是,WinRAR漏洞问题突显第三方软件的安全管控问题。一旦第三方软件安装,就能取得读、写与修改计算机设备资料的权限,且这些计算机设备能连接公司网络,黑客可能借此步步入侵公司网络。
面对WinRAR等第三方软件漏洞,除了立即修补或更新到修好漏洞的最新版软件,最根本解决之道就是导入控制不同人员及应用程序权限的解决方案。
(首图来源:RARLab)