據相關消息,繼 Zero Day Initiative(ZDI)之后,安全公司 Group-IB 于前日發布博文,披露了存在于WinRAR壓縮軟件中的零日漏洞CVE-2023-38831,已經在 6.23 版本中修復。
而在之前已被追蹤編號為CVE-2023-40477的漏洞,CVSS評分高達7.8分(總分10分,分數越高風險越大)。如果沒有及時修復此漏洞,黑客可以通過構建一個看似普通的RAR文件,但一旦受害者解壓縮該文件,系統就會遭到感染,從而被黑客遠程操控并執行任意代碼。該漏洞產生的根源在于對用戶提供的數據缺乏適當的驗證,這會引發分配的緩存背后的內存訪問。漏洞利用需要用戶交互,即攻擊者需要訪問惡意頁面或打開精心偽造的RAR文件。但從實際攻擊場景來說,欺騙用戶執行必要的交互操作并不難。
對于目前新發現的零日漏洞 CVE-2023-38831,攻擊者可通過一些看似無害的文件,利用腳本在設備上安裝惡意軟件。目前調查結果顯示至少在 8 個交易社區上分發,至少有 130 臺設備受到感染,目前無法確認受損情況。
所以,為避免受到該漏洞的影響,推薦使用 WinRAR 的用戶盡快升級至 6.23 及更高版本,全力保障自身網絡安全。
以下是漏洞概述:
GROUP-IB 威脅情報部門發現 WinRAR 自 2023 年 4 月以來就存在一個零日漏洞;
網絡犯罪販子正在利用這個漏洞欺騙文件擴展名,這意味著攻擊者可以將惡意腳本偽裝成 jpg、txt 或者任何擴展名中隱藏啟動;
精心制作的 ZIP 壓縮包用于各種惡意軟件系列,包括 DarkMe、GuLoader、Remcos RAT;
這些攜帶惡意腳本的 ZIP 壓縮包在各種交易者專業論壇進行分發;
攻擊者利用此漏洞提供與 DarkCasino 活動中使用相同的工具,DarkCasino 是中國安全公司綠盟科技發現的一個惡意軟件家族。
關鍵基礎設施安全應急響應中心
嘶吼專業版
D1Net
D1Net
D1Net
安全圈
信息安全與通信保密雜志社
嘶吼專業版
全球網絡安全資訊
D1Net
嘶吼專業版
FreeBuf
