WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
WinRAR có lỗ hổng nghiêm trọng chưa được vá. Hãy ngừng sử dụng!
Người dùng Windows hãy coi chừng!
Một lỗ hổng Zero-day nguy hiểm mới chưa được vá vừa được phát hiện trong phiên bản mới nhất của WinRAR ảnh hưởng đến hàng triệu người dùng trên toàn thế giới.
Theo Mohammad Reza Espargham, nhà nghiên cứu an ninh tại Vulnerability-Lab, phiên bản ổn định WinRAR 5.21 cho máy tính Windows có nguy cơ bị tấn công bởi lỗ hổng thực thi mã từ xa Remote Code Execution (RCE).
WinRAR là một trong những chương trình tiện ích phổ biến nhất được sử dụng để nén và giải nén tập tin với hơn 500 triệu cài đặt trên toàn thế giới.
Lỗ hổng RCE trên WinRAR thuộc nhóm “High Severity" (mức nghiêm trọng cao) và có điểm số 9 trên CVSS (Common Vulnerability Scoring System).
Lỗ hổng WinRAR hoạt động như thế nào?
Lỗ hổng này có thể được sử dụng bởi bất kỳ kẻ tấn công khéo léo để chèn một mã HTML độc hại vào trong phần "Text to display in SFX window (Chữ hiển thị trong cửa sổ SFX)" khi người sử dụng đang tạo ra một file SFX mới.
WinRAR SFX là một loại tập tin nén thực thi có chứa một hoặc nhiều tập tin và có khả năng giải nén nội dung của chính mình.
Theo đoạn video proof-of-concept được công bố bởi Espargham, lỗ hổng trên phiên bản WinRAR mới nhất cho phép tin tặc thực thi mã tùy ý trên máy tính nạn nhân khi mở một file SFX (file tự giải nén).
Khai thác thành công không đòi hỏi quá nhiều tương tác người dùng, và gây ra ảnh hưởng đến hệ thống, mạng máy tính và thiết bị của người dùng.
Bất lợi lớn phát sinh do các tệp SFX, bởi SFX file bắt đầu hoạt động ngay khi người dùng nhấp chuột vào chúng. Vì vậy người dùng không thể nhận dạng và xác minh nếu tập tin nén thực thi là một WinRAR SFX module an toàn hay là một module độc hại.
Khuyến cáo:
Đến thời điểm hiện tại, nhà sản xuất vẫn chưa đưa ra bản vá cho lỗ hổng này. Để đảm bảo an toàn, Bkav khuyến cáo người dùng Windows:
- Hạn chế sử dụng WinRAR. Thay vào đó, sử dụng các phần mềm khác như 7zip (http://www.7-zip.org/download.html) hoặc Winzip (http://www.winzip.com/win/en/index.htm)... ít nhất cho tới khi có bản vá cho lỗ hổng này.
- Xác minh rõ nguồn gốc các tập tin trước khi sử dụng, không mở tập tin có nguồn không rõ ràng.
- Sử dụng các phần mềm quét virus đối với các tập tin trước khi sử dụng.
- Mở tập tin trong môi trường cách ly.
Nhận định:
WinRAR là một phần mềm được rất nhiều người sử dụng. Việc nhà nghiên cứu công khai proof-of-concept khi phía sản xuất chưa có bản vá thể hiện việc thiếu chuyên nghiệp trong cách hành xử gây ảnh hưởng trực tiếp đến hàng trăm triệu người dùng WinRAR.
Chúng tôi sẽ cập nhật thêm thông tin về lỗ hổng này.
Một lỗ hổng Zero-day nguy hiểm mới chưa được vá vừa được phát hiện trong phiên bản mới nhất của WinRAR ảnh hưởng đến hàng triệu người dùng trên toàn thế giới.
Theo Mohammad Reza Espargham, nhà nghiên cứu an ninh tại Vulnerability-Lab, phiên bản ổn định WinRAR 5.21 cho máy tính Windows có nguy cơ bị tấn công bởi lỗ hổng thực thi mã từ xa Remote Code Execution (RCE).
WinRAR là một trong những chương trình tiện ích phổ biến nhất được sử dụng để nén và giải nén tập tin với hơn 500 triệu cài đặt trên toàn thế giới.
Lỗ hổng RCE trên WinRAR thuộc nhóm “High Severity" (mức nghiêm trọng cao) và có điểm số 9 trên CVSS (Common Vulnerability Scoring System).
Lỗ hổng WinRAR hoạt động như thế nào?
Lỗ hổng này có thể được sử dụng bởi bất kỳ kẻ tấn công khéo léo để chèn một mã HTML độc hại vào trong phần "Text to display in SFX window (Chữ hiển thị trong cửa sổ SFX)" khi người sử dụng đang tạo ra một file SFX mới.
WinRAR SFX là một loại tập tin nén thực thi có chứa một hoặc nhiều tập tin và có khả năng giải nén nội dung của chính mình.
Theo đoạn video proof-of-concept được công bố bởi Espargham, lỗ hổng trên phiên bản WinRAR mới nhất cho phép tin tặc thực thi mã tùy ý trên máy tính nạn nhân khi mở một file SFX (file tự giải nén).
[video=youtube;fo0l0oT4468]https://www.youtube.com/watch?t=5&v=fo0l0oT4468[/video]
Khai thác thành công không đòi hỏi quá nhiều tương tác người dùng, và gây ra ảnh hưởng đến hệ thống, mạng máy tính và thiết bị của người dùng.
Bất lợi lớn phát sinh do các tệp SFX, bởi SFX file bắt đầu hoạt động ngay khi người dùng nhấp chuột vào chúng. Vì vậy người dùng không thể nhận dạng và xác minh nếu tập tin nén thực thi là một WinRAR SFX module an toàn hay là một module độc hại.
Khuyến cáo:
Đến thời điểm hiện tại, nhà sản xuất vẫn chưa đưa ra bản vá cho lỗ hổng này. Để đảm bảo an toàn, Bkav khuyến cáo người dùng Windows:
- Hạn chế sử dụng WinRAR. Thay vào đó, sử dụng các phần mềm khác như 7zip (http://www.7-zip.org/download.html) hoặc Winzip (http://www.winzip.com/win/en/index.htm)... ít nhất cho tới khi có bản vá cho lỗ hổng này.
- Xác minh rõ nguồn gốc các tập tin trước khi sử dụng, không mở tập tin có nguồn không rõ ràng.
- Sử dụng các phần mềm quét virus đối với các tập tin trước khi sử dụng.
- Mở tập tin trong môi trường cách ly.
Nhận định:
WinRAR là một phần mềm được rất nhiều người sử dụng. Việc nhà nghiên cứu công khai proof-of-concept khi phía sản xuất chưa có bản vá thể hiện việc thiếu chuyên nghiệp trong cách hành xử gây ảnh hưởng trực tiếp đến hàng trăm triệu người dùng WinRAR.
Chúng tôi sẽ cập nhật thêm thông tin về lỗ hổng này.
Nguồn: Bkav, The Hacker News
Chỉnh sửa lần cuối bởi người điều hành:
. Cám ơn tác giả đã cung cấp cho tôi thông tin này để tôi nghiên cứu về lỗ hỏng này và khai thác trong khi nó chưa được vá 