解壓縮軟體應是最常用到的工具之一,不論下載或上傳大檔案,使用者都需透過工具壓縮或解壓縮目標檔案。就因解壓縮軟體的重要性,自然成為駭客動歪腦筋的對象。日前知名 WinRAR 試用版解壓縮軟體發現新安全漏洞,遠端攻擊者可經由漏洞,在目標電腦執行惡意程式等任意程式碼,提高電腦遭入侵劫持的程度。
5.70 才剛修復漏洞,又見全新 RCE 漏洞
解壓縮軟體是電腦必備工具之一,WinRAR 則是最受歡迎的解壓縮軟體,熱門工具軟體會成為駭客利用的對象也是意料中事。2019 年 2 月下旬,WinRAR 就驚爆有個潛伏近 14 年的重大漏洞,允許駭客遠端執行任意程式碼。WinRAR 發布 5.70 Beta 1 測試版軟體後,終於補好這漏洞。
諷刺的是,5.70 版修復漏洞後不久,俄羅斯漏洞安全方案供應商 Positive Technologies 旗下 PT SWARM 部門 Web 應用程式安全專家 Igor Sak-Sakovskiy,又在 5.70 版發現全新遠端程式碼執行(Remote Code Execution,RCE)漏洞,日前於官方部落格發表文章。漏洞正式公告編號為 CVE-2021-35052。
RARLab 早在今年 6 月 14 日 6.02 版 WinRAR 軟體修復全新漏洞,但 Sak-Sakovskiy 仍在 10 月 20 日在公司官網發布此漏洞的官方部落格貼文,儘管他沒有解釋為什麼現在仍提及 4 個月前就修好的漏洞,推測可能與大部分使用者仍未更新最新版 WinRAR 有關,所以 Sak-Sakovskiy 才又再度發文警告使用者。畢竟解壓縮軟體更新前後差異感不大,致使許多使用者比較沒有更新解壓縮軟體的習慣與急迫感。
攔劫及修改回應碼,駭客便能入侵電腦
Sak-Sakovskiy 指出,新漏洞能讓攻擊者攔劫並修改系統發送給應用程式使用者的請求,進而在受害者電腦實行 RCE 攻擊。進一步當 WinRAR 免費試用期結束時,會透過「notifier.rarlab[.]com」警告使用者,這時攻擊者攔截發送的回應程式碼,並修改成「301 Moved Permanently」重定向回應碼,針對所有後續請求,將重定向快取到攻擊者控制的惡意網域。
更重要的是,已能存取相同網域的攻擊者,便能透過 ARP 詐騙攻擊,遠端啟展開啟動應用程式、檢索本地主機資訊,甚至執行任意程式碼等攻擊行為。
根決之道:網路存取控制解決方案
對企業最棘手的是,WinRAR 漏洞問題突顯第三方軟體的安全管控問題。一旦第三方軟體安裝,就能取得讀、寫與修改電腦裝置資料的權限,且這些電腦裝置能連結公司網路,駭客可能藉此步步入侵公司網路。
面對 WinRAR 等第三方軟體漏洞,除了立即修補或更新到修好漏洞的最新版軟體,最根本解決之道就是導入控制不同人員及應用程式權限的解決方案。
