先前被發現且存在長達十餘年的 WinRAR 漏洞,雖然已經修復,但仍遭多個駭侵組織用於攻擊事件。
先前本中心報導過的 WinRAR 安全漏洞,雖已在日前修復,但資安研究單位仍發現多個駭侵組織利用此漏洞發動攻擊,其中甚至包括多個 APT 駭侵組織在內。
WinRAR 的漏洞 CVE-2018-20250 主要是用以解壓 ACE 檔案的程式庫久未更新所致;而當資安公司 Check Point 公布該漏洞數日後,就出現利用該漏洞進行的攻擊事件。McAfee 更指出,漏洞公布後一周內,該公司就偵測到超過百起基於該漏洞的駭侵事件。
該漏洞的問題在於駭侵者可將惡意檔案置於用戶電腦的開機啟動目錄,因此能夠感染用戶電腦。McAfee 指出,典型的攻擊手法是將檔案偽裝成用戶可能感興趣的相簿檔;當用戶解壓縮時,會解出一些 MP3 檔案,但其開機啟動目錄內也會被塞入惡意軟體,而用戶對此將一無所知。
南韓和中國資安廠商也都偵測到類似的攻擊事件,其中某些事件疑為 APT 駭侵團體所為。
建議 Windows 電腦用戶如有安裝 WinRAR,應立即更新至最新版本。
資料來源:
- https://www.twcert.org.tw/subpages/securityInfo/securitypolicy_details.aspx?id=810
- https://www.securityweek.com/recently-patched-winrar-flaw-exploited-apt-attacks
- https://www.securityweek.com/winrar-vulnerability-exposes-millions-users-attacks
- https://twitter.com/WinRAR_RARLAB/status/1100358049993240577
