พบช่องโหว่อายุ 14 ปีบน WinRAR เจาะช่องโหว่ได้ทันทีที่เปิดไฟล์ ควรอัปเดตโดยด่วน

CheckPoint ได้ออกมาเผยถึงการค้นพบช่องโหว่บน WinRAR ที่มีอยู่ตั้งแต่ปี 2005 และสามารถทำการโจมตีช่องโหว่นี้ได้ทันทีเพียงแค่ผู้ใช้งานเปิดไฟล์ที่ถูกบีบอัดเอาไว้ โดยแนะนำให้ผู้ใช้งานทำการอัปเดตไปใช้ WinRAR รุ่นหลังจาก 5.70 beta 1 จึงจะปลอดภัย

Credit: WinRAR

ช่องโหว่นี้เป็นช่องโหว่ Path Traversal ภายใน unacev2.dll ซึ่งเป็น Library สำหรับใช้ในการอ่าน ACE Archive ซึ่งเป็น Format ของการบีบอัดข้อมูลที่มีมาตั้งแต่สมัยช่วงยุค 1990 – 2000 และไม่ได้เป็นที่นิยมมากนัก ซึ่งผู้โจมตีสามารถทำการปลอมแปลงไฟล์ ACE ให้มีนามสกุลเป็น RAR แทน จากนั้นเมื่อไฟล์ดังกล่าวถูกเปิดอ่านด้วย WinRAR ระบบก็จะถูกโจมตีเจาะช่องโหว่ดังกล่าวได้ทันที โดยผลลัพธ์ของการโจมตีนี้ก็คือการนำไฟล์ที่ถูกบีบอัดไปเขียนลงใน Path ที่กำหนดได้ตามต้องการ

อย่างไรก็ดี ช่องโหว่นี้ถึงแม้จะดูไม่อันตรายมากนัก แต่ทีมนักวิจัยของ CheckPoint ก็ค้นพบแนวทางการนำช่องโหว่ดังกล่าวมาใช้โจมตีต่อเนื่องได้ ด้วยการเขียนไฟล์ที่ต้องการลงไปที่ C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ก็จะทำให้การเปิดเครื่องครั้งถัดไปของเหยื่อมีการเรียกไฟล์นั้นๆ ขึ้นมา และนำไปสู่การโจมตีแบบ Remote Code Execution ได้นั่นเอง

ทั้งนี้ ทีมพัฒนา WinRAR ก็ไม่สามารถทำการแก้ไข Library ดังกล่าวได้เพราะเป็น Library ที่เก่ามากไม่ได้อัปเดตมาตั้งแต่ปี 2005 และบริษัทผู้พัฒนา Library ดังกล่าวก็ปิดกิจการไปแล้วเมื่อปี 2017 ดังนั้นทีมพัฒนา WinRAR จึงตัดสินใจตัดความสามารถในการเปิดไฟล์ ACE ออกไปเพื่อป้องกันการโจมตีเจาะช่องโหว่ดังกล่าวใน WinRAR ตั้งแต่รุ่น 5.70 beta 1 เป็นต้นไป โดยผู้ใช้งานสามารถโหลดและซื้อ WinRAR ได้ที่ https://www.win-rar.com/

ในเว็บไซต์ของ WinRAR เองระบุว่า WinRAR มีผู้ใช้งานทั่วโลกมากกว่า 500 ล้านคน ดังนั้นช่องโหว่นี้จึงส่งผลกระทบกับผู้ใช้งานจำนวนมากอย่างแน่นอน

สำหรับรายละเอียดฉบับเต็มของช่องโหว่ สามารถศึกษาได้ที่ https://research.checkpoint.com/extracting-code-execution-from-winrar/ ครับ

ที่มา: https://www.theregister.co.uk/2019/02/20/winrar_security_bug/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …