據(jù)security affairs消息，網(wǎng)絡(luò)安全專家Igor Sak-Sakovskiy發(fā)現(xiàn)了WinRAR的一個遠(yuǎn)程代碼執(zhí)行漏洞，漏洞編號CVE-2021-35052。

創(chuàng)新互聯(lián)建站秉承實(shí)現(xiàn)全網(wǎng)價值營銷的理念，以專業(yè)定制企業(yè)官網(wǎng)，網(wǎng)站設(shè)計制作、成都網(wǎng)站制作，重慶小程序開發(fā)，網(wǎng)頁設(shè)計制作，手機(jī)網(wǎng)站制作，全網(wǎng)整合營銷推廣幫助傳統(tǒng)企業(yè)實(shí)現(xiàn)“互聯(lián)網(wǎng)+”轉(zhuǎn)型升級專業(yè)定制企業(yè)官網(wǎng),公司注重人才、技術(shù)和管理，匯聚了一批優(yōu)秀的互聯(lián)網(wǎng)技術(shù)人才,對客戶都以感恩的心態(tài)奉獻(xiàn)自己的專業(yè)和所長。

該漏洞出現(xiàn)在WinRAR的Windows試用版本，漏洞版本為5.70，黑客可利用該漏洞遠(yuǎn)程攻擊計算機(jī)系統(tǒng)。

Igor Sak-Sakovskiy表示，“這個漏洞允許攻擊者攔截和修改系統(tǒng)發(fā)送給用戶的請求，這樣就可以在用戶電腦上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE)。我們也是在WinRAR 5.70 版中偶然發(fā)現(xiàn)了這個漏洞?！?/p>

安全專家在安裝了WinRAR后，發(fā)現(xiàn)它存在一個JavaScript 錯誤，具體表現(xiàn)形式是，在瀏覽器中彈出下圖這樣的錯誤窗口。

經(jīng)過一系列的測試之后，安全專家發(fā)現(xiàn)軟件試用期滿后，軟件會開始顯示錯誤消息，基本上是每三次執(zhí)行一次。這個彈出“錯誤顯示”的窗口是通過系統(tǒng)文件mshtml.dll報錯來實(shí)現(xiàn)，它和WinRAR一樣，都是用 Borland的 C++語言編寫的。

安全專家使用Burp Suite作為默認(rèn)的Windows代理，以此攔截消息顯示時生成的流量。

WinRAR在軟件試用期結(jié)束后，會通過“notifier.rarlab[.]com”來提醒用戶，安全專家在分析了發(fā)送給用戶的響應(yīng)代碼后發(fā)現(xiàn)，攻擊者會把提醒信息修改成“301永久移動”的重定向消息，這樣就可以將后續(xù)所有的請求緩存重定向到惡意域中。

安全專家還注意到，當(dāng)攻擊者可以訪問同一網(wǎng)絡(luò)域之后，就會發(fā)起ARP欺騙攻擊，以便遠(yuǎn)程啟動應(yīng)用程序，檢索本地主機(jī)信息并執(zhí)行任意代碼。

隨后，我們試圖攔截、修改WinRAR發(fā)送給用戶的反饋信息，而不是去攔截和更改默認(rèn)域，讓“notifier.rarlab.com”每次都響應(yīng)我們的惡意內(nèi)容。我們進(jìn)一步發(fā)現(xiàn)，如果如果響應(yīng)代碼被更改為“301永久移動”，并重定向緩存到我們的“attacker.com”惡意域，這樣所有的請求都會轉(zhuǎn)到“attacker.com”。

最后，安全專家指出，第三方軟件中的漏洞會對企業(yè)和組織產(chǎn)生嚴(yán)重風(fēng)險。這些漏洞的存在，可以讓攻擊者訪問系統(tǒng)的任何資源，甚至是訪問托管網(wǎng)絡(luò)中的所有資源。

“在安裝應(yīng)用程序之前，我們不可能確保每一個程序都沒問題，因此用戶的策略對于外部應(yīng)用程序的風(fēng)險管理至關(guān)重要，以及如何平衡應(yīng)用程序的業(yè)務(wù)需求和安全風(fēng)險，也依賴于用戶的選擇。如果使用、管理不當(dāng)，很有可能會產(chǎn)生非常嚴(yán)重的后果。”

參考來源：https://securityaffairs.co/wordpress/123652/hacking/winrar-trial-flaw.html

名稱欄目：請立即檢查，WinRAR驚現(xiàn)遠(yuǎn)程代碼執(zhí)行漏洞
本文鏈接：http://uogjgqi.cn/article/coidhip.html