据谷歌介绍,WinRAR 7.12及更早版本存在严重马脚,进击者可应用该马脚在解压时缺点地将文件写入体系目次,最终实现恶意代码履行并获取体系控制权,该马脚在CVSS中的得分为 8.4/10,属于高风险等级。
进击的核心计心境制是应用Windows体系的“备用数据流”(ADS)特点进行路径遍历进击,平日情况下,黑客会将恶意文件隐蔽在紧缩包内钓饵文件的ADS中。
当用户查看钓饵文件时,WinRAR会在后台经由过程目次遍历,将恶意负载(如LNK、HTA、BAT或脚本文件)解压并释放到随便率性地位。
黑客最常选择的目标是Windows的 “启动(Startup)”文件夹,从而确保恶意软件在用户下次登录时主动履行,实现经久埋伏。
谷歌指出,今朝包含UNC4895(RomCom)、APT44以及Turla在内的多个有名黑客组织正积极应用该马脚。
进击者重要经由过程鱼叉式收集垂纶,将恶意RAR附件假装成“求职简历”或“发票”,投放包含Snipbot、Mythic Agent在内的各类后门木马,受害者涵盖金融、制造、国防及物流等多个重要范畴。
因为WinRAR没有主动更新功能,很多用户可能仍在应用易受进击的旧版本,建议手动将版本进级至WinRAR 7.13或更高版本。
发表评论 取消回复