Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ 0-day ใน WinRAR ผู้ไม่หวังดีสามารถปลอมแปลง Extension ของไฟล์ที่อยู่ภายในไฟล์ .zip เพื่อหลอกให้ติดตั้งมัลแวร์

วันที่ประกาศ: 3 เมษายน 2557
ปรับปรุงล่าสุด: 4 เมษายน 2557
เรื่อง: ระวังภัย ช่องโหว่ 0-day ใน WinRAR ผู้ไม่หวังดีสามารถปลอมแปลง Extension ของไฟล์ที่อยู่ภายในไฟล์ .zip เพื่อหลอกให้ติดตั้งมัลแวร์

ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

นักวิจัยด้านความมั่นคงปลอดภัยชาวอิสราเอลชื่อ Danor Cohen ได้ค้นพบช่องโหว่ในโปรแกรม WinRAR ซึ่งทำให้ผู้ไม่หวังดีสามารถปลอมแปลงนามสกุล (Extension) ของไฟล์ที่อยู่ในไฟล์ .zip เพื่อหลอกให้ผู้ใช้เปิดใช้งานไฟล์ดังกล่าวได้ [1]

โดยปกติแล้ว โครงสร้างของไฟล์ .zip จะเป็นดังรูปที่ 1 โดย Offset ที่ 30 คือชื่อดังเดิมของไฟล์ที่อยู่ในไฟล์ .zip


รูปที่ 1 โครงสร้างของไฟล์ .zip

เมื่อใช้โปรแกรม WinRAR สร้างไฟล์ .zip ก็จะได้ไฟล์ที่มีโครงสร้างตามรูปที่ 1 แต่ฟังก์ชันสร้างไฟล์ .zip ของโปรแกรม WinRAR มีการสร้างข้อมูลส่วนขยายเพิ่มเข้ามาอีกคือส่วนที่เป็นคุณสมบัติของไฟล์ที่อยู่ในไฟล์ .zip ซึ่งข้อมูลดังกล่าวมีส่วนของชื่อไฟล์ด้วย ทำให้ในไฟล์ .zip มีข้อมูลของชื่อไฟล์ที่อยู่ข้างใน ปรากฎอยู่ 2 ที่

นักวิจัยพบว่า ข้อมูลชื่อไฟล์ที่อยู่ในไฟล์ .zip ถูกใช้งานแตกต่างกัน คือชื่อไฟล์ที่แสดงอยู่ในตำแหน่งแรก (ลูกศรสีเขียว) จะเป็นชื่อไฟล์ที่ได้หลังจากที่ Extract ไฟล์ออกมา ซึ่งจะเป็นชื่อไฟล์เดียวกันกับที่แสดงเมื่อใช้โปรแกรม WinRAR เปิดดูไฟล์ .zip ในขณะที่ชื่อไฟล์ในตำแหน่งที่สอง (ลูกศรสีแดง) เป็นส่วนอธิบายรายละเอียดของไฟล์ ซึ่งโปรแกรม WinRAR สร้างขึ้นมาเพิ่มเติม ตัวอย่างข้อมูลชื่อไฟล์ที่ปรากฎอยู่ในไฟล์ .zip ดังแสดงในรูปที่ 2


รูปที่ 2 ตัวอย่างข้อมูลชื่อไฟล์ที่ปรากฎอยู่ในไฟล์ .zip

สาเหตุของช่องโหว่ในครั้งนี้ เกิดจากการที่โปรแกรมไม่มีการตรวจสอบว่าชื่อไฟล์ในทั้ง 2 ตำแหน่งนั้นตรงกันหรือไม่ ทำให้ผู้ไม่หวังดีสามารถแก้ไขชื่อไฟล์ให้แสดงผลในโปรแกรม WinRAR เป็นชื่อหนึ่ง แต่เมื่อ Extract ไฟล์ออกมา ปรากฎเป็นอีกชื่อหนึ่งได้

ผลกระทบ

ผู้ไม่หวังดีสามารถใช้โปรแกรม WinRAR สร้างไฟล์ .zip ที่ภายในบรรจุโปรแกรมอันตรายไว้ (เช่น ไฟล์ .exe) แล้วแก้ไขข้อมูลชื่อไฟล์ดังกล่าวให้เป็นไฟล์ที่ไม่น่าจะมีลักษณะอันตราย (เช่น เปลี่ยนนามสกุลเป็นไฟล์ .txt หรือ .mp3) ซึ่งหากผู้ใช้หลงเชื่อและดับเบิ้ลคลิกไฟล์ดังกล่าวจากหน้าต่างโปรแกรม WinRAR ก็จะเป็นการเรียกใช้งานโปรแกรมอันตรายนั้นทันที

ปัจจุบันพบการโจมตีผ่านช่องโหว่นี้แล้ว โดยพบว่ามีการส่งอีเมลที่แนบไฟล์ .zip ดังตัวอย่างในรูปที่ 3 ไปยังหน่วยงานสำคัญๆ ในต่างประเทศ เช่น สถานฑูต บริษัท หรือหน่วยงานทางทหาร


รูปที่ 3 ตัวอย่างการโจมตีผ่านทางอีเมล

ระบบที่ได้รับผลกระทบ

ในเบื้องต้นนาย Danor แจ้งว่าช่องโหว่ดังกล่าวนี้มีผลกระทบกับโปรแกรม WinRAR เวอร์ชัน 4.2.0 แต่จากการตรวจสอบเพิ่มเติมของบริษัท IntelCrawler พบว่าช่องโหว่นี้มีผลกับโปรแกรม WinRAR ทุกเวอร์ชัน [2]

ข้อแนะนำในการป้องกันและแก้ไข

  1. ผู้ใช้งานควรมีความระมัดระวังการเปิดใช้งานไฟล์ต่างๆ ที่ได้รับ และพิจารณาอีเมลที่มีการแนบไฟล์ โดยเฉพาะอย่างยิ่งไฟล์ถูกบีบอัดด้วยนามสกุล .zip ซึ่งอาจเป็นอีเมลของผู้ไม่หวังดีเพื่อหลอกให้ติดมัลแวร์
  2. ติดตั้งโปรแกรมแอนตี้ไวรัสที่มีการอัพเดทอยู่เสมอ เพื่อใช้ในการสแกนไฟล์มัลแวร์ที่อาจถูกลักลอบส่งเข้ามาผ่านเทคนิคของช่องโหว่นี้

อ้างอิง

  1. http://an7isec.blogspot.co.il/2014/03/winrar-file-extension-spoofing-0day.html
  2. http://intelcrawler.com/report_2603.pdf
Clear