Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ path traversal ใน WinRAR อาจถูกติดตั้งมัลแวร์ลงในเครื่องได้เมื่อขยายไฟล์บีบอัด (CVE-2018-20250) มีแพตช์แล้ว

วันที่ประกาศ: 19 มีนาคม 2562
ปรับปรุงล่าสุด: 19 มีนาคม 2562
เรื่อง: ระวังภัย ช่องโหว่ path traversal ใน WinRAR อาจถูกติดตั้งมัลแวร์ลงในเครื่องได้เมื่อขยายไฟล์บีบอัด (CVE-2018-20250) มีแพตช์แล้ว

ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Google+

ข้อมูลทั่วไป

WinRAR เป็นโปรแกรมบีบอัดไฟล์ที่มีผู้ใช้งานกว่า 500 ล้านคนทั่วโลก (อ้างอิงจากเว็บไซต์ของผู้พัฒนาโปรแกรม) [1] เมื่อวันที่ 20 กุมภาพันธ์ 2562 นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Check Point ได้รายงานช่องโหว่ประเภท Path Traversal ในโปรแกรม WinRAR ซึ่งเปิดโอกาสให้ผู้ไม่หวังดีสามารถติดตั้งมัลแวร์ลงในเครื่องคอมพิวเตอร์ของเหยื่อได้ ช่องโหว่นี้มีรหัส CVE-2018-20250 [2] มีคะแนน CVSS 7.8 (High) [3] ปัจจุบันพบการโจมตีโดยอาศัยช่องโหว่นี้แล้ว

สาเหตุของช่องโหว่เกิดจากโปรแกรม WinRAR ใช้ไลบรารี UNACEV2.dll สำหรับขยาย (extract) ไฟล์นามสกุล .ace ซึ่งเป็นไฟล์ที่ถูกบีบอัดด้วยโปรแกรม WinACE [4] ไลบรารี UNACEV2.dll มีช่องโหว่ในส่วนของการตั้งชื่อไฟล์ที่อนุญาตให้ใส่อักขระพิเศษ คือ / \ * ในชื่อไฟล์ได้ (โดยปกติแล้วระบบปฏิบัติการจะไม่อนุญาตให้ตั้งชื่อไฟล์ในลักษณะนี้) อักขระพิเศษที่สามารถใส่เข้าไปได้นั้นใช้เพื่อระบุตำแหน่งของไฟล์หรือไดเรกทอรีในระบบ ส่งผลให้ผู้ประสงค์ร้ายสามารถสร้างไฟล์บีบอัดประเภท .ace ที่ฝังมัลแวร์เอาไว้แล้วแก้ไขชื่อไฟล์ให้มีอักขระพิเศษเพื่อระบุถึงตำแหน่งไดเรกทอรีอื่นในเครื่องได้ หากผู้ใช้ขยายไฟล์ .ace ดังกล่าวโดยใช้โปรแกรม WinRAR ไฟล์มัลแวร์จะถูกนำไปไว้ในตำแหน่งที่ผู้ประสงค์ร้ายกำหนด ซึ่งอาจก่อให้เกิดความเสียหายต่อระบบหรือข้อมูลของผู้ใช้งานได้ ทั้งนี้ นักวิจัยได้ยกตัวอย่างการโจมตีโดยติดตั้งโปรแกรมมัลแวร์ไว้ในไดเรกทอรี Startup ซึ่งจะทำให้ตัวมัลแวร์ถูกเรียกขึ้นมาทำงานโดยอัตโนมัติทุกครั้งที่เปิดเครื่อง [5]

เมื่อวันที่ 28 กุมภาพันธ์ 2562 ทางผู้พัฒนา WinRAR ได้ออกอัปเดตเวอร์ชัน 5.70 เพื่อแก้ไขปัญหานี้แล้ว อย่างไรก็ตาม เนื่องจากโปรแกรม WinACE ไม่ได้รับความนิยมและหยุดพัฒนาไปตั้งแต่ปี 2550 ทำให้ทีมพัฒนาของ WinRAR ไม่สามารถแก้ไขช่องโหว่ในไลบรารี UNACEV2.dll ได้ จึงตัดสินใจถอนการสนับสนุนไฟล์ .ace ตั้งแต่ WinRAR เวอร์ชัน 5.70 เป็นต้นไป [6]

ผลกระทบ

หากผู้ใช้ขยายไฟล์บีบอัดที่ถูกสร้างขึ้นมาเพื่อโจมตีผ่านช่องโหว่ก็มีความเสี่ยงที่จะถูกติดตั้งมัลแวร์ลงในเครื่องได้ ทั้งนี้ เนื่องจากโปรแกรม WinRAR ไม่ได้ขยายไฟล์โดยอ้างอิงจากนามสกุลของไฟล์แต่จะพิจารณาจากส่วนหัวของไฟล์ ทำให้ผู้ประสงค์ร้ายสามารถเปลี่ยนนามสกุลไฟล์จาก .ace เป็น .rar เพื่อหลอกลวงได้

ปัจจุบันมีรายงานการโจมตีโดยอาศัยช่องโหว่นี้แล้ว เช่น ใช้ภาพลามก [7] หรือใช้เพลงละเมิดลิขสิทธิ์ [8] เพื่อหลอกล่อให้ผู้ใช้ขยายไฟล์ออกมาดู

ระบบที่ได้รับผลกระทบ

WinRAR เวอร์ชันต่ำกว่า 5.70

ข้อแนะนำในการป้องกันและแก้ไข

ผู้ใช้ควรอัปเดตโปรแกรม WinRAR เป็นเวอร์ชัน 5.70 โดยเร็วที่สุด ทั้งนี้ เนื่องจากโปรแกรม WinRAR ไม่มีความสามารถในการติดตั้งอัปเดตอัตโนมัติ ผู้ใช้จำเป็นต้องดาวน์โหลดโปรแกรมเวอร์ชันล่าสุดจากเว็บไซต์ของผู้พัฒนา (www.win-rar.com) มาติดตั้งด้วยตนเอง

หากยังไม่สามารถอัปเดตได้ อาจพิจารณาเปลี่ยนไปใช้โปรแกรมอื่นในการขยายไฟล์บีบอัด เช่น 7-Zip หรือลบไฟล์ UNACEV2.dll ออกจากเครื่องเพื่อลดความเสี่ยงและผลกระทบ โดยไฟล์ดังกล่าวอยู่ในไดเรกทอรีที่ติดตั้งโปรแกรม WinRAR

นอกจากนี้ ผู้ใช้ควรพิจารณาติดตั้งแอนติไวรัสและอัปเดตฐานข้อมูลอย่างสม่ำเสมอเพื่อให้สามารถตรวจจับมัลแวร์ใหม่ๆ ได้

อ้างอิง

  1. https://www.win-rar.com/
  2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20250
  3. https://nvd.nist.gov/vuln/detail/CVE-2018-20250
  4. https://en.wikipedia.org/wiki/ACE_(compressed_file_format)
  5. https://research.checkpoint.com/extracting-code-execution-from-winrar/
  6. https://www.win-rar.com/singlenewsview.html?&tx_ttnews%5Btt_news%5D=116&cHash=ab1dd0ca4b801016fba0a9562a5b8e40
  7. https://ti.360.net/blog/articles/upgrades-in-winrar-exploit-with-social-engineering-and-encryption/
  8. https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/attackers-exploiting-winrar-unacev2-dll-vulnerability-cve-2018-20250/
Clear