你是知道的,互联网上面危险重重。所以,你不会轻易运行网上下载的exe文件。如果怀疑这个exe文件有问题,你甚至会去www.virustotal.com【注1】解析它,看看它是否藏毒(病毒)。
但是,如果要解压一个文件,你就没那么谨慎了。通过WinRAR软件打开它,然后点击“解压”。用了那么多年的WinRAR,应该没问题吧,是安全的吧!你这样想。
但是,就在上个月,WinRAR爆出了一个存在14年的老漏洞。数百万Windows系统用户可能在悄无知觉的情况下,被攻击。
WinRAR 漏洞
在Windows操作系统上运行的文件压缩软件——WinRAR,在全球拥有5亿用户。1月,WinRAR修复了一个存在超过14年的漏洞,该漏洞可以在目标受害者解压压缩文件后,执行恶意代码。
该漏洞是由UNACEV2.DLL中的绝对路径遍历操作缺陷导致的。UNACEV2.DLL这个第三方代码库,支持以.ace为后缀的压缩文件,以卓越的压缩率著称,被广泛应用于安装文件中。
但是,UNACEV2.DLL从2005年起,就再也没有被更新过。绝对路径遍历操作,让压缩文件可以提取到压缩文件创建者选择的文件夹中,而不是正解压的人(用户)选择的文件夹中(恐怖😱)。而且因为第三方库没有利用ASLR*【注2】(地址空间布局随机化)等安全措施,所以几乎无法防止这一漏洞被攻击者利用。
发现漏洞的安全公司——Check Point Software的研究人员,指出如何利用该漏洞,以某种方式执行他们选择的代码。 他们创建了一个利用漏洞的程序,将可执行文件解压到Windows启动文件夹中。于是,在Windows系统重启后,这个可执行文件将被执行。
2019年1月末,WinRAR官方声称他们修补了这个漏洞。
“自2005年以来,UNACEV2.DLL就没有更新过,我们无法访问其源代码,因此我们决定放弃支持ACE压缩格式,以保护WinRAR用户的安全。”
如果不升级WinRAR,你可能会丢币!!
日前,Reddit论坛上的一个 帖子 发出警告——如果继续使用未修补版本的winrar,打开恶意的rar文件,你可能会丢币!
攻击原理
使用未修补版的WinRAR(低于2019年1月发布的WinRAR 5.70 Beta 1版本),打开满怀恶意的rar文件,解压后的恶意文件会被放入Windows启动文件夹中。这意味着在Windows系统重新启动时,你将加载这个恶意的exe。
如果这个exe文件,包括钓剪切板/键盘窃听程序,密钥识别程序等攻击程序,使用WinRAR的加密货币爱好者,很有可能会丢币!!你的钱包地址、秘钥会被窃听(不是真的听,是监控你的输入,然后识别,然后通过网络传输给攻击者),然后代币就会被蓄谋已久的攻击者以迅雷不及掩耳盗铃之势火速转走。
然后,没人会去刻意升级WinRAR软件。毕竟WinRAR不像iOS手机操作系统那样,天天提醒你更新!而rar文件在usenet和torrent(BT下载)中被大量使用。Windows操作系统又占据了相当大的市场份额,估计全世界至少有1亿台****使用Windows操作系统的计算机上有未经修补WinRAR。
你该怎么做?
-
在你的使用Windows操作系统的电脑上,卸载老的WinRAR。
-
到https://www.rarlab.com/download.htm下载WinRAR的最新版本,安装它。
-
为了保险,请卸载一切支持ACE格式的软件。
需要指出的是,实际包含错误的是第——三方库文件UNACEV2.DLL,错误发生在ACE中,而不是WinRAR中。最新版的WinRAR已经放弃了对ACE压缩格式的支持,并从安装文件中删除了UNACEV2.DLL文件。
而那些包含UNACEV2.DLL文件的软件,都有风险!都有风险!
因此,所有支持ACE的软件——都容易受到攻击!不仅仅是WinRAR,还有Total Commander等软件。 -
请奔走相告亲朋好友,如果使用Windows操作系统,一定要升级WinRAR。避免被盗币后,亲朋两行泪。
检查是否已被感然
如果您下载且打开过导致 bitfinex泄露的leaks.rar,那么你已经被感染了。
请在*%appdata%\Microsoft \ Windows \ Start Menu \ Programs \ Startup *文件夹下 (%appdata% 代表C:\Users\用户名\AppData\Roaming这个文件夹),查找名为“IntelAudio.exe”的文件,请立即删除它!
攻击还未真正开始
计算机网络安全领域有个名词叫——零时差攻击,是指漏洞被发现后,立即被恶意者利用。通俗地讲,即安全补丁与漏洞曝光的同一日内,相关的恶意程序就涌现。
没错,一定会有很多恶意攻击涌现。未来,还会有更多攻击者利用这个漏洞。
所以,请务必小心!
使用Windows操作系统的你,赶快升级你的WinRAR软件吧!
注意:
【1】VirusTotal是一款由独立 IT 安全实验室 Hispasec Sistemas 开发的服务,可在线查毒。它使用多种反病毒引擎, 并定期更新病毒库。
【2】ASLR: Address space layout randomization:地址空间布局随机化,是参与保护缓冲区溢出问题的一个计算机安全技术。是为了防止攻击者在内存中能够可靠地对跳转到特定利用函数。ASLR包括随机排列程序的关键数据区域的位置,包括可执行的部分、堆、栈及共享库的位置。
参考资料:
https://arstechnica.com/information-technology/2019/02/nasty-code-execution-bug-in-winrar-threatened-millions-of-users-for-14-years/
https://www.reddit.com/r/Bitcoin/comments/ayoz1k/hey_everybody_patch_your_winrar_or_lose_coins/
网友评论