WinRAR 中的漏洞可能導致遠程代碼執行

Positive Technologies 研究員 Igor Sak-Sakovskiy 在 Windows 流行的 WinRAR 試用軟件文件歸檔實用程序中發現了一個遠程代碼執行漏洞，編號為 CVE-2021-35052。

該漏洞影響該實用程序的試用版，易受攻擊的版本為 5.70。

“此漏洞允許攻擊者攔截和修改發送給應用程序用戶的請求。這可用于在受害者的計算機上實現遠程代碼執行 (RCE)。它已被分配 CVE ID – CVE-2021-35052。” 閱讀Sak-Sakovskiy 發表的帖子。“我們在 WinRAR 5.70 版中偶然發現了這個漏洞。”

研究人員安裝了該軟件并注意到它產生了 JavaScript 錯誤，具體錯誤表明 Internet Explorer 引擎正在呈現此錯誤窗口。

經過一系列測試，專家注意到試用期結束后，軟件開始顯示錯誤消息，這是三次執行中的一次。用于顯示錯誤的這個窗口使用了編寫 WinRAR 的 Borland C++ 的 mshtml.dll 實現。

專家使用 Burp Suite 作為默認的 Windows 代理來攔截顯示消息時產生的流量。

對 WinRAR 通過“notifier.rarlab[.]com”提醒用戶免費試用期結束時發送的響應代碼的分析表明，如果可以緩存重定向，請將其修改為“ 301 Moved Permanently ”重定向消息任何后續請求的惡意域。專家還注意到，訪問同一網域的攻擊者通過ARP欺騙攻擊遠程啟動應用程序、檢索本地主機信息、運行任意代碼。

“接下來，我們嘗試修改從 WinRAR 到用戶的截獲響應。我們沒有每次使用我們的惡意內容攔截和更改默認域“notifier.rarlab.com”響應，而是注意到如果響應代碼更改為“301 Moved Permanently”，則重定向到我們的惡意域“attacker.com”將被緩存，所有請求都將轉到“attacker.com”。” 專家繼續說道。“接下來，我們嘗試修改從 WinRAR 到用戶的截獲響應。我們沒有每次使用我們的惡意內容攔截和更改默認域“notifier.rarlab.com”響應，而是注意到如果響應代碼更改為“301 Moved Permanently”，則重定向到我們的惡意域“attacker.com”將被緩存，所有請求都將轉到“attacker.com”。”

專家指出，第三方軟件中的漏洞給組織帶來了嚴重的風險，它們可以被利用來訪問系統的任何資源，并可能訪問托管它的網絡。

“不可能審核用戶可能安裝的每個應用程序，因此策略對于管理與外部應用程序相關的風險以及平衡此風險與各種應用程序的業務需求至關重要。管理不當會產生廣泛的后果。” 文章結束。