Winrar目錄穿越漏洞預警

科技 02-22

1. 漏洞描述

WinRAR 是一款功能強大的壓縮包管理器，它是檔案工具RAR在Windows環境下的圖形界面。該軟體可用於備份數據，縮減電子郵件附件的大小，解壓縮從 Internet 上下載的RAR、ZIP及其它類型文件，並且可以新建 RAR 及 ZIP 格式等的壓縮類文件。

2019年 2 月 20 日國外安全研究員Nadav Grossman發布了Winrar一個嚴重的Path Traversal漏洞，當用戶解壓壓縮包時可以導致命令執行，目前官方已經推出beta版修復該漏洞。

2. 影響範圍

其中受影響版本為：

Winrar <= 5.61

3. 漏洞危害

通過這個漏洞黑客可以將惡意程序放入用戶啟動項，當目標電腦重新啟動時獲取目標主機的許可權。

在擁有system許可權下可以放入

c:/windows/system32/wbem/mof/evt.mof，直接在獲取目標主機的許可權。

可以投放惡意dll文件進行dll劫持獲取到目標主機的許可權,或者覆蓋用戶主機上的文件等方式獲取目標主機的許可權。

4. 漏洞細節

https://research.checkpoint.com/extracting-code-execution-from-winrar/

漏洞主要是由Winrar用來解壓ACE壓縮包採用的動態鏈接庫unacev2.dll這個dll引起的。unacev2.dll中處理filename時只校驗了CRC，黑客可以通過更改壓縮包的CRC校驗碼來修改解壓時候的filename來觸發這個Path Traversal漏洞。但是Winrar本身檢測了filename，有一些限制並且普通用戶解壓RAR文件時候不能將我們惡意的Payload解壓到需要System許可權的文件夾。所以當用戶將文件下載到默認的C:UsersAdministratorDownloads目錄下時，我們通過構造

C:C:C:../AppDataRoamingMicrosoftWindowsStartMenuProgramsStartup est.exe

經過Winrar的CleanPath函數處理會變成

C:../AppDataRoamingMicrosoftWindowsStartMenuProgramsStartup est.exe

其中C:會被轉換成當前路徑，如果用Winrar打開那麼當前路徑就是C:Program FilesWinRAR，要是在文件夾中右鍵解壓到xxx那麼當前路徑就是壓縮包所在的路徑。

當用戶在文件夾中直接右鍵解壓到xx那麼我們惡意的payload解壓地址就會變成

C:UsersAdministratorDownloads../AppDataRoamingMicrosoftWindowsStartMenuProgramsStartup est.exe

就是當前用戶的啟動項。這樣一個利用完成了從一個Path Traversal到任意命令執行的過程。

5. 修復建議

1. 將Winrar升級成5.70Beta 1;

2. 使用其他不採用unacev2.dll這個動態鏈接庫來處理ace壓縮包的壓縮軟體。

6. 產品策略建議

網路流量檢測類設備策略建議：