快捷搜索:

您的位置:环球彩票登陆 > 环球彩票登陆 > 小心你的压缩软件 WinRA福特Explorer 安全漏洞暴露

小心你的压缩软件 WinRA福特Explorer 安全漏洞暴露

发布时间:2019-10-18 03:59编辑:环球彩票登陆浏览(200)

    据悉,将会有 5 亿用户受到 WinRAR 这个漏洞的影响,这个漏洞是在 WinRAR 的 UNACEV2.dll 代码库中被发现的,这个代码库自 2005 年以来就没有被使用过,资深黑客可以轻松的进行入侵。

    环球彩票登陆 1

    环球彩票登陆 2

    点评:很多用户不重视或者不愿意进行软件的升级,这个有一定道理的,用户可能怕新界面不熟悉,又或者担心负优化,或者干脆就是懒,但是对于类似 WinRAR 这种防不胜防的漏洞,官方软件升级是最有效最安全的防护方式,软件更新大部分原因也是官方对自家产品的保护,给用户更安全的体验,希望大家能重视一下软件的更新。

    WinRAR 为支持 ACE 压缩文件的解压缩功能,集成了一个具有 19 年历史的动态共享库 unacev2.dll。 而此共享库自 2006 年以来再未更新过,也未开启任何漏洞利用缓解技术。Nadav Grossman在unacev2.dll中发现的目录穿越漏洞,可允许攻击者绕过安全检查直接运行WinRAR,而且可以直接将恶意可执行程序解压到系统的开机启动文件夹中。这就意味着当用户下次重新开机的时候,这些恶意文件可自动运行,让攻击者“完全控制”受害者的计算机。

    只需要在压缩工具快捷方式的图标上点击鼠标右键,在弹出的菜单中选择 " 打开文件位置 " 即可跳转到压缩工具目录,将当前目录下的 unacev2.dll 文件手动删除即可。

    环球彩票登陆 3

    重新启动计算机后,自动运行了可执行程序。

    1、手动找到 WinRAR 的安装文件夹

    目前这个漏洞已经被注意到,只要用户更新到 5.70 Beta 1 测试版,就可以修读这个漏洞,而之前的 5.61 版本不建议用户使用。

    方案二:沙箱联动防火墙-升级沙箱高级静态检测引擎及内容检测引擎

    腾讯电脑管家刚刚也发布预警,安全专家验证,该漏洞不仅仅存在于 WinRAR 5.7 之前的版本,网民日常使用的 Bandizip、2345 压缩、好压、totalcmd 等软件均存在该风险。

    据外媒报道,WinRAR 这款风靡全球的压缩软件,近日被披露了一个严重的安全漏洞,攻击者可以运用漏洞轻松绕过权限运行 WinRAR,并将各种恶意软件植入到系统里,使用者下次开机就会中招,相当阴险。

    几乎所有装有解压软件的Windows机器都会受到影响(目前只有安装了WinRaR官网beta版的可幸免,正式版也受影响)。该漏洞极有可能以勒索软件和挖矿木马等植入方式,被攻击者利用,进行批量攻击。

    腾讯电脑管家建议用户升级压缩软件到最新版本,或者删除压缩解压软件安装目录下的 unacev2.dll 文件。

    二、复现过程

    环球彩票登陆 4

    右键解压到当前目录下之后,开机启动目录下生成了可执行文件

    黑客可利用该漏洞绕过权限提升直接运行 WinRAR,并将恶意文件放进 Windows 系统的启动文件夹中,只要用户重新开机恶意文件即自动运行,黑客便能 " 完全控制 " 受害者计算机。

    漏洞复现

    2、在 WinRAR 的文件夹中删除 unacev2.dll

    漏洞描述

    环球彩票登陆 5

    漏洞证明使用我们获取的样本证明漏洞的存在,解压样本文件到当前文件夹。

    近日,国外安全研究人员披露,著名压缩软件 WinRAR 被曝高危漏洞,目前全球已有超过 5 亿用户受到影响。

    影响范围

    据报道,在 WinRAR 的 UNACEV2.dll 代码库中发现严重安全漏洞,众多压缩工具支持 .ace 格式文件的解压缩,存在漏洞的 ACE 解压模块文件 unacev2.dll 创建于 2005 年,已经 14 年未更新。

    小心你的压缩软件 WinRA福特Explorer 安全漏洞暴露环球彩票登陆。攻击过程复现

    以 WinRAR 为例操作:

    C盘中创建了证明漏洞存在的文件。

    对于部署华为Firehuntrer沙箱的用户,请根据沙箱版本更新对应的高级静态检测引擎及内容检测引擎,配合下一代防火墙的APT防御功能进行联动处置防御。

    小心你的压缩软件 WinRA福特Explorer 安全漏洞暴露环球彩票登陆。方案三:用户主机侧防护使用7zip等替代压缩工具。使用WinRAR软件的用户,尽快对当前使用软件进行版本升级,链接如下:

    解压恶意的压缩文件,可将可执行程序解压到开机启动目录下。使用脚本生成恶意压缩文件test.rar

    应急处置建议

    环球彩票登陆 6

    环球彩票登陆 7

    针对本次WinRAR核心库路径穿越漏洞,华为未然实验室安全专家建议采用如下应急处置方案 :

    环球彩票登陆 8

    WinRAR在享誉全球成为必备装机软件的同时,在过去19年中一直深受各种严重安全漏洞的负面影响。据Check Point安全研究员Nadav Grossman刚刚披露,他在WinRAR中发现了包括ACE文件验证逻辑绕过漏洞(CVE-2018-20250)、ACE文件名逻辑验证绕过漏洞(CVE-2018-20251)、ACE/RAR文件越界写入漏洞(CVE-2018-20252)以及LHA/LZH文件越界写入漏洞(CVE-2018-20253)在内的一系列漏洞。当前,全球有超过5亿用户受到WinRAR漏洞影响。

    环球彩票登陆 9

    已部署了华为下一代防火墙的用户,请确保开启IPS功能,并将入侵防御特征库升级到最新版本。针对利用WinRAR漏洞的文件传输,华为下一代防火墙将直接实施阻断。

    该漏洞极易被利用,而且影响范围十分巨大。

    方案一:边界防护-配置IPS阻断签名

    一、环境要求Windows 操作系统WinRAR 5.61 以下

    环球彩票登陆 10

    本文由环球彩票登陆发布于环球彩票登陆,转载请注明出处:小心你的压缩软件 WinRA福特Explorer 安全漏洞暴露

    关键词: 环球彩票登陆 华为 路径 安全漏洞 压缩软件

上一篇:没有了

下一篇:没有了