พบช่องโหว่อายุ 14 ปีบน WinRAR เจาะช่องโหว่ได้ทันทีที่เปิดไฟล์ ควรอัปเดตโดยด่วน

CheckPoint ได้ออกมาเผยถึงการค้นพบช่องโหว่บน WinRAR ที่มีอยู่ตั้งแต่ปี 2005 และสามารถทำการโจมตีช่องโหว่นี้ได้ทันทีเพียงแค่ผู้ใช้งานเปิดไฟล์ที่ถูกบีบอัดเอาไว้ โดยแนะนำให้ผู้ใช้งานทำการอัปเดตไปใช้ WinRAR รุ่นหลังจาก 5.70 beta 1 จึงจะปลอดภัย

Credit: WinRAR

ช่องโหว่นี้เป็นช่องโหว่ Path Traversal ภายใน unacev2.dll ซึ่งเป็น Library สำหรับใช้ในการอ่าน ACE Archive ซึ่งเป็น Format ของการบีบอัดข้อมูลที่มีมาตั้งแต่สมัยช่วงยุค 1990 – 2000 และไม่ได้เป็นที่นิยมมากนัก ซึ่งผู้โจมตีสามารถทำการปลอมแปลงไฟล์ ACE ให้มีนามสกุลเป็น RAR แทน จากนั้นเมื่อไฟล์ดังกล่าวถูกเปิดอ่านด้วย WinRAR ระบบก็จะถูกโจมตีเจาะช่องโหว่ดังกล่าวได้ทันที โดยผลลัพธ์ของการโจมตีนี้ก็คือการนำไฟล์ที่ถูกบีบอัดไปเขียนลงใน Path ที่กำหนดได้ตามต้องการ

อย่างไรก็ดี ช่องโหว่นี้ถึงแม้จะดูไม่อันตรายมากนัก แต่ทีมนักวิจัยของ CheckPoint ก็ค้นพบแนวทางการนำช่องโหว่ดังกล่าวมาใช้โจมตีต่อเนื่องได้ ด้วยการเขียนไฟล์ที่ต้องการลงไปที่ C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ก็จะทำให้การเปิดเครื่องครั้งถัดไปของเหยื่อมีการเรียกไฟล์นั้นๆ ขึ้นมา และนำไปสู่การโจมตีแบบ Remote Code Execution ได้นั่นเอง

ทั้งนี้ ทีมพัฒนา WinRAR ก็ไม่สามารถทำการแก้ไข Library ดังกล่าวได้เพราะเป็น Library ที่เก่ามากไม่ได้อัปเดตมาตั้งแต่ปี 2005 และบริษัทผู้พัฒนา Library ดังกล่าวก็ปิดกิจการไปแล้วเมื่อปี 2017 ดังนั้นทีมพัฒนา WinRAR จึงตัดสินใจตัดความสามารถในการเปิดไฟล์ ACE ออกไปเพื่อป้องกันการโจมตีเจาะช่องโหว่ดังกล่าวใน WinRAR ตั้งแต่รุ่น 5.70 beta 1 เป็นต้นไป โดยผู้ใช้งานสามารถโหลดและซื้อ WinRAR ได้ที่ https://www.win-rar.com/

ในเว็บไซต์ของ WinRAR เองระบุว่า WinRAR มีผู้ใช้งานทั่วโลกมากกว่า 500 ล้านคน ดังนั้นช่องโหว่นี้จึงส่งผลกระทบกับผู้ใช้งานจำนวนมากอย่างแน่นอน

สำหรับรายละเอียดฉบับเต็มของช่องโหว่ สามารถศึกษาได้ที่ https://research.checkpoint.com/extracting-code-execution-from-winrar/ ครับ

ที่มา: https://www.theregister.co.uk/2019/02/20/winrar_security_bug/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

Symantec ประกาศอัปเดตโซลูชันคลาวด์ใหม่เร่งตอบโจทย์ Zero Trust

Symantec ได้มีการอัปเดตโซลูชัน Cloud Access ใหม่เพื่อช่วยให้องค์กรสามารถตอบโจทย์ Zero Trust การใช้งานคลาวด์ อินเทอร์เน็ต และอีเมลได้อย่างมั่นใจ