Lỗ hổng trên Winrar ảnh hưởng đến toàn bộ các phiên bản trong suốt 19 năm tồn tại

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
319
448 bài viết
Lỗ hổng trên Winrar ảnh hưởng đến toàn bộ các phiên bản trong suốt 19 năm tồn tại
Lỗ hổng mới được phát hiện bởi các nhà nghiên cứu An Ninh Mạng của CheckPoint công bố họ đã phát hiện ra lỗ hổng thực thi từ xa ảnh hưởng trên tất cả các phiên bản trong suốt 19 năm qua.

winrar-exploit.jpg

Các nhà nghiên cứu chia sẻ đây là một lỗ hổng nghiêm trọng của Winrar, một ứng dụng giải nén trên Windows và phổ biến với hơn 500 triệu người dùng trên toàn thế giới, và ảnh hưởng đến tất cả các phiên bản.

Lỗ hổng này nằm liên quan đến một thư viện cũ của Third-party, có tên gọi là UNACEV2.DLL, được sử dụng bởi phần mềm xử lý việc trích xuất các tệp, được nén ở tệp lưu trữ nén thuộc định dạng ACE.

Tuy nhiên, Winrar phát hiện định dang theo nội dung của file chứ không phải bởi tiện ích mở rộng. .rar, vì thể kẻ tấn công chỉ có thể thay đổi phần mở rộng .ace thành .rar để đánh lừa được người sử dụng.

Theo các nhà nghiên cứu, họ đã tìm thấy lỗi "Absolute Path Traversal" (tạm dịch "đường dẫn mong muốn") trong thư viện có thể được sử dụng để thực thi mã tùy ý trên hệ thống mục tiêu để giải nén tệp tin độc hại có chứa lỗ hổng trên các phiên bản của phần mềm Winrar.

Lỗ hổng đường dẫn cho phép kẻ tấn công trích xuất các tệp nén vào một thư mục mà chúng muốn thay vì thư mục do người dùng chọn, để tạo "cơ hội" có thể nhứng các mã độc vào Windows Startup, để nó có thể khởi tạo tiến trình mong muốn trong lần khởi động tiếp theo.

Demo trong video được các nhà nghiên cứu chia sẻ, để kiểm soát hoàn toàn các máy tính được nhắm mục tiêu, tất cả những gì kẻ tấn công cần làm là thuyết phục người dùng chỉ mở tệp lưu trữ nén được tạo thủ công độc hại bằng WinRAR.

Do nhóm WinRAR đã mất mã nguồn của thư viện UNACEV2.dll vào năm 2005, nên họ đã quyết định bỏ UNACEV2.dll khỏi gói của họ để khắc phục sự cố và phát hành phiên bản WINRar 5.70 beta 1 không hỗ trợ định dạng ACE được phát hành sau ngày 21/2/2019.

Người dùng Windows nên cài đặt phiên bản WinRAR mới nhất càng sớm càng tốt và tránh mở các tệp nhận được từ các nguồn không xác định.
Tải WINRAR mới nhất tại đây

Tham khảo từ TheHackerNews
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: chaien
theo kiến thức ,mình biết được , để hacker hoàn toàn tấn công vào hệ thống , thì người dùng phải click chuột vào evil.exe, như trong video ,do vậy cũng không lo lắm :D , nếu không có tính tò mò nhỉ :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
theo kiến thức ,mình biết được , để hacker hoàn toàn tấn công vào hệ thống , thì người dùng phải click chuột vào evil.exe, như trong video ,do vậy cũng không lo lắm :D , nếu không có tính tò mò nhỉ :D
Trong video nó đã drop file nào đường dẫn startup, dĩ nhiên nó sẽ không thực thi ngay lập tức nhưng nó sẽ thực thi sau khi bạn reboot lại.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf and chaien
Comment
Trong video nó đã drop file nào đường dẫn startup, dĩ nhiên nó sẽ không thực thi ngay lập tức nhưng nó sẽ thực thi sau khi bạn reboot lại.
nghĩa là : File trong video sẽ thực thi sau khi , người dùng restart máy tính , và không cần click file evil.exe hả bạn ? :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
@chaien: thông thường các shortcut, file thực thi trong thư mục Startup sẽ được thực thi cùng Windows khi khởi động. Do đó trong trường hợp này file Evil.exe sẽ tự thực thi sau khi khởi động lại. Bạn có thể chép một file .exe nào đó vào thư mục Startup để thử tính năng này.
 
Comment
Thẻ
exploit lỗ hổng malware winrar
Bên trên