已有黑客开始利用WinRAR等压缩管理器的漏洞进行攻击

早些时候我们提到有安全公司发现WinRAR附带的组件库存在漏洞,  攻击者可以利用这个漏洞完全接管设备。

但WinRAR只是代表其实全球超过20种压缩管理器如 Bandizip 也同样附带这个组件库因此也存在安全风险。

目前研究人员已经发现有黑客团队开始利用这个漏洞,所幸如果用户没有关闭 UAC 账户控制的话无法提权

已有黑客团伙开始利用WinRAR等压缩管理器的漏洞进行攻击

ACE格式的文件是什么:

该文件格式是20年前比较活跃的压缩文件归档格式,最初.ACE格式使用率高于.RAR但后来被.RAR格式反超。

同时ACE格式也是专有的即没有开源或者是免费提供等,如果想要打包ACE格式只能使用开发商提供的软件。

不过开发商允许其他软件调用软件库提取ACE格式的文档,即第三方软件可以打开ACE文档但不能修改压缩。

也正是如此多数压缩管理器为兼容ACE格式的文档会内置其软件库,被安全公司发现漏洞的正是这个软件库。

开启UAC账户控制还是很重要的:

据奇虎360 威胁情报中心透露目前已经拦截到携带恶意代码的压缩文件,这个文件正是利用ACE软件库漏洞。

这个恶意文件利用钓鱼邮件进行传播, 但在进行漏洞利用时需要获得管理员权限所以会弹出 UAC 账户控制。

只要用户没有点确定给予其管理员权限则对应的代码无法运行,若给予权限则将恶意软件设置计划启动任务。

当用户下次启动电脑时恶意软件实现开机自启动,然后连接到攻击者的服务器下载各种渗透工具和广告软件。

谷歌VirusTotal在线扫描显示目前部分安全软件已经可以拦截此病毒,不过多数的杀毒软件尚无法对其拦截。

Bandizip/360压缩/2345好压等均受ACE库安全漏洞影响

简单粗暴的解决方案:

不论你使用的是什么压缩管理器都可以直接打开安装目录,然后将其中UNACEV2.DLL软件库彻底删除即可

理论上只要删除这个软件库即便有通过ACE文档进行攻击也无法利用漏洞,这种处理方式可以快速解决问题。

目前诸如WinRAR在内的部分压缩管理器已经开始发布新版本,其实新版本也就是直接删除UNACEV2.DLL。

这个软件库已经19年没更新同时也没人继续维护,这次安全事件后估计 ACE 专有格式也被加速从市场清除。

本文来源 蓝点网 综合,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 综合 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

6 条评论,访客:6 条,站长:0 条
  1. 89
    89发布于: 
    Firefox 64.0 Firefox 64.0 Windows 10 64位版 Windows 10 64位版

    Bandzip最新版也直接移除了

  2. bakura1
    bakura1发布于: 
    Google Chrome 62.0.3202.75 Google Chrome 62.0.3202.75 Windows 7 64位版 Windows 7 64位版

    局域网几百台电脑,虽然有安全桌面类的远程控制软件,不知怎么能全部删除。

      • bakura1
        bakura1发布于: 
        Google Chrome 72.0.3626.109 Google Chrome 72.0.3626.109 Windows 10 64位版 Windows 10 64位版

        也安装不了这么多,几百台。安全桌面的软件好垃圾的。

  3. withalout
    withalout发布于: 
    Google Chrome 71.0.3578.98 Google Chrome 71.0.3578.98 Windows 10 64位版 Windows 10 64位版

    开了UAC用着BETA2

发表评论