WinRARの絶対パストラバーサルの脆弱性(CVE-2018-20250)、リモートでコードが実行される可能性
WinRARのACEファイルフォーマットサポートにおける19年前から存在した脆弱性(CVE-2018-20250)が攻撃の一部として使用されていることが確認されています。
背景
2月20日、Check Point Research(CPR)の研究者らは、人気のあるファイル圧縮ツールであるWinRARがACEアーカイブを抽出するために使用するライブラリ内で、複数の脆弱性が発見されたことをブログで公開しました。これらの脆弱性が悪用されると、リモートでコードが実行される可能性があります。エクスプロイトスクリプトは、CPRがブログを投稿した翌日にGithubに公開されました。360 Threat Intelligence Center(TIC)は、実世界でこの脆弱性を悪用する試みを特定したと報告しています。
おそらく、WinRAR 脆弱性を悪用するためにメールを介して広がった最初のマルウェアでしょう。このバックドアは MSF により生成され、UAC がオフであれば、WinRAR によりグローバルスタートアップフォルダに書き込まれます。https://t.co/bK0ngP2nIy
— 360 Threat Intelligence Center (@360TIC) 2019年2月25日
IOC:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443 pic.twitter.com/WpJVDaGq3D
分析
CPRは合計4つのCVE(CVE-2018-20250、CVE-2018-20251、CVE-2018-20252、CVE-2018-20253)を公開しました。
CVE-2018-20250はunacev2.dllの絶対パストラバーサルの脆弱性です。unacev2.dllは、WinRARがACEアーカイブを解析するために使用するDLLファイルで、2005年(14年前)以降更新されていません。 特別に細工されたACEアーカイブはこの脆弱点を悪用してファイルを任意のパスに抽出し、実際の保存先フォルダを迂回することができます。この例では、CPRは悪意のあるファイルをWindowsのStartupフォルダに抽出できることを実証しています。
CVE-2018-20251は、ACEアーカイブの処理時にWinRARが検証機能を呼び出す方法に存在する脆弱性です。検証機能は、パストラバーサルパターンが含まれているファイルの抽出を防ぐように設計されていますが、検証機能からの値は、ファイルまたはフォルダが作成されるまで返されません。
CVE-2018-20252とCVE-2018-20253の両方とも、細工されたアーカイブフォーマットの解析時に範囲外の書き込みを可能にする脆弱性です。これらのCVEを悪用すると、任意のコードが実行される可能性があります。
概念実証
CPRは、ブログ記事で概念実証ビデオを公開し、ACEアーカイブが悪意のあるファイルをWindowsのスタートアップフォルダに抽出する方法を示しています。
概念実証はGithubにも公開されています。
解決策
WinRARはWinRAR 5.70 Beta 1でACEアーカイブの解凍のサポートを終了することを決定しました。現在のベータバージョンは、5.70 Beta 2です。WinRARユーザーはできるだけ早く最新のベータ版にアップグレードすることをお勧めします。
攻撃されたシステムの特定
これらの脆弱性を識別するためのNessusプラグインのリストは、リリースされるたびにこちらに表示されます。
詳細情報を入手する
- WinRARから19年前から存在するコード実行を抽出
- WinRARから19年前から存在するコード実行を抽出の exp(Github)
- WinRARから19年前から存在するコード実行を抽出の poc ファイル(Github)
- 脆弱性情報データベース(NVD): CVE-2018-20250
Tenable コミュニティの Tenable セキュリティレスポンスチームにご参加ください
最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、Tenable の詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。