พบช่องโหว่อายุ 14 ปีบน WinRAR เจาะช่องโหว่ได้ทันทีที่เปิดไฟล์ ควรอัปเดตโดยด่วน

CheckPoint ได้ออกมาเผยถึงการค้นพบช่องโหว่บน WinRAR ที่มีอยู่ตั้งแต่ปี 2005 และสามารถทำการโจมตีช่องโหว่นี้ได้ทันทีเพียงแค่ผู้ใช้งานเปิดไฟล์ที่ถูกบีบอัดเอาไว้ โดยแนะนำให้ผู้ใช้งานทำการอัปเดตไปใช้ WinRAR รุ่นหลังจาก 5.70 beta 1 จึงจะปลอดภัย

ช่องโหว่นี้เป็นช่องโหว่ Path Traversal ภายใน unacev2.dll ซึ่งเป็น Library สำหรับใช้ในการอ่าน ACE Archive ซึ่งเป็น Format ของการบีบอัดข้อมูลที่มีมาตั้งแต่สมัยช่วงยุค 1990 – 2000 และไม่ได้เป็นที่นิยมมากนัก ซึ่งผู้โจมตีสามารถทำการปลอมแปลงไฟล์ ACE ให้มีนามสกุลเป็น RAR แทน จากนั้นเมื่อไฟล์ดังกล่าวถูกเปิดอ่านด้วย WinRAR ระบบก็จะถูกโจมตีเจาะช่องโหว่ดังกล่าวได้ทันที โดยผลลัพธ์ของการโจมตีนี้ก็คือการนำไฟล์ที่ถูกบีบอัดไปเขียนลงใน Path ที่กำหนดได้ตามต้องการ

อย่างไรก็ดี ช่องโหว่นี้ถึงแม้จะดูไม่อันตรายมากนัก แต่ทีมนักวิจัยของ CheckPoint ก็ค้นพบแนวทางการนำช่องโหว่ดังกล่าวมาใช้โจมตีต่อเนื่องได้ ด้วยการเขียนไฟล์ที่ต้องการลงไปที่ C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ก็จะทำให้การเปิดเครื่องครั้งถัดไปของเหยื่อมีการเรียกไฟล์นั้นๆ ขึ้นมา และนำไปสู่การโจมตีแบบ Remote Code Execution ได้นั่นเอง

ทั้งนี้ ทีมพัฒนา WinRAR ก็ไม่สามารถทำการแก้ไข Library ดังกล่าวได้เพราะเป็น Library ที่เก่ามากไม่ได้อัปเดตมาตั้งแต่ปี 2005 และบริษัทผู้พัฒนา Library ดังกล่าวก็ปิดกิจการไปแล้วเมื่อปี 2017 ดังนั้นทีมพัฒนา WinRAR จึงตัดสินใจตัดความสามารถในการเปิดไฟล์ ACE ออกไปเพื่อป้องกันการโจมตีเจาะช่องโหว่ดังกล่าวใน WinRAR ตั้งแต่รุ่น 5.70 beta 1 เป็นต้นไป โดยผู้ใช้งานสามารถโหลดและซื้อ WinRAR ได้ที่ https://www.win-rar.com/

ในเว็บไซต์ของ WinRAR เองระบุว่า WinRAR มีผู้ใช้งานทั่วโลกมากกว่า 500 ล้านคน ดังนั้นช่องโหว่นี้จึงส่งผลกระทบกับผู้ใช้งานจำนวนมากอย่างแน่นอน

สำหรับรายละเอียดฉบับเต็มของช่องโหว่ สามารถศึกษาได้ที่ https://research.checkpoint.com/extracting-code-execution-from-winrar/ ครับ

ที่มา: https://www.theregister.co.uk/2019/02/20/winrar_security_bug/