Breaking News

พบช่องโหว่อายุ 14 ปีบน WinRAR เจาะช่องโหว่ได้ทันทีที่เปิดไฟล์ ควรอัปเดตโดยด่วน

CheckPoint ได้ออกมาเผยถึงการค้นพบช่องโหว่บน WinRAR ที่มีอยู่ตั้งแต่ปี 2005 และสามารถทำการโจมตีช่องโหว่นี้ได้ทันทีเพียงแค่ผู้ใช้งานเปิดไฟล์ที่ถูกบีบอัดเอาไว้ โดยแนะนำให้ผู้ใช้งานทำการอัปเดตไปใช้ WinRAR รุ่นหลังจาก 5.70 beta 1 จึงจะปลอดภัย

Credit: WinRAR

ช่องโหว่นี้เป็นช่องโหว่ Path Traversal ภายใน unacev2.dll ซึ่งเป็น Library สำหรับใช้ในการอ่าน ACE Archive ซึ่งเป็น Format ของการบีบอัดข้อมูลที่มีมาตั้งแต่สมัยช่วงยุค 1990 – 2000 และไม่ได้เป็นที่นิยมมากนัก ซึ่งผู้โจมตีสามารถทำการปลอมแปลงไฟล์ ACE ให้มีนามสกุลเป็น RAR แทน จากนั้นเมื่อไฟล์ดังกล่าวถูกเปิดอ่านด้วย WinRAR ระบบก็จะถูกโจมตีเจาะช่องโหว่ดังกล่าวได้ทันที โดยผลลัพธ์ของการโจมตีนี้ก็คือการนำไฟล์ที่ถูกบีบอัดไปเขียนลงใน Path ที่กำหนดได้ตามต้องการ

อย่างไรก็ดี ช่องโหว่นี้ถึงแม้จะดูไม่อันตรายมากนัก แต่ทีมนักวิจัยของ CheckPoint ก็ค้นพบแนวทางการนำช่องโหว่ดังกล่าวมาใช้โจมตีต่อเนื่องได้ ด้วยการเขียนไฟล์ที่ต้องการลงไปที่ C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ก็จะทำให้การเปิดเครื่องครั้งถัดไปของเหยื่อมีการเรียกไฟล์นั้นๆ ขึ้นมา และนำไปสู่การโจมตีแบบ Remote Code Execution ได้นั่นเอง

ทั้งนี้ ทีมพัฒนา WinRAR ก็ไม่สามารถทำการแก้ไข Library ดังกล่าวได้เพราะเป็น Library ที่เก่ามากไม่ได้อัปเดตมาตั้งแต่ปี 2005 และบริษัทผู้พัฒนา Library ดังกล่าวก็ปิดกิจการไปแล้วเมื่อปี 2017 ดังนั้นทีมพัฒนา WinRAR จึงตัดสินใจตัดความสามารถในการเปิดไฟล์ ACE ออกไปเพื่อป้องกันการโจมตีเจาะช่องโหว่ดังกล่าวใน WinRAR ตั้งแต่รุ่น 5.70 beta 1 เป็นต้นไป โดยผู้ใช้งานสามารถโหลดและซื้อ WinRAR ได้ที่ https://www.win-rar.com/

ในเว็บไซต์ของ WinRAR เองระบุว่า WinRAR มีผู้ใช้งานทั่วโลกมากกว่า 500 ล้านคน ดังนั้นช่องโหว่นี้จึงส่งผลกระทบกับผู้ใช้งานจำนวนมากอย่างแน่นอน

สำหรับรายละเอียดฉบับเต็มของช่องโหว่ สามารถศึกษาได้ที่ https://research.checkpoint.com/extracting-code-execution-from-winrar/ ครับ

ที่มา: https://www.theregister.co.uk/2019/02/20/winrar_security_bug/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รถยนต์ Tesla ถูกเจาะสำเร็จ ในงาน Pwn2Own 2019

นักวิจัยทางด้านความปลอดภัยสามารถแฮ็ครถยนต์ Tesla Model 3 สำเร็จ ในวันสุดท้ายของงาน Pwn2Own 2019 ที่กำลังจัดขึ้นที่แวนคูเวอร์ ประเทศแคนาดา Credit: Pwn2Own

Facebook เผยพบ Password ผู้ใช้งานถูกเก็บแบบ Plain Text หลายร้อยล้านราย ตอนนี้แก้ไขแล้ว

Facebook ได้ออกมาเผยว่าเมื่อเดือนมกราคม 2019 ที่ผ่านมา ทีมงานภายใน Facebook ได้มีการทำ Security Review และพบว่ามี Password ของผู้ใช้งานจำนวนหลายร้อยล้านรายการถูกเก็บเป็นแบบ Plain Text โดยมีพนักงานภายใน Facebook เท่านั้นที่สามารถเข้าถึงข้อมูลเหล่านี้ได้ ซึ่งปัจจุบันทาง Facebook ได้ดำเนินการแก้ไขปัญหาแล้วและมีแผนที่จะแจ้งเตือนลูกค้าผู้ใช้งาน ในขณะที่ KrebsOnSecurity ก็ได้ออกมาเปิดเผยข้อมูลเชิงลึกของเหตุครั้งนี้เพิ่มเติม