已有黑客开始利用WinRAR等压缩管理器的漏洞进行攻击-压缩文件管理器

早些时候我们提到有安全公司发现WinRAR附带的组件库存在漏洞, 攻击者可以利用这个漏洞完全接管设备。

但WinRAR只是代表其实全球超过20种压缩管理器如 Bandizip 也同样附带这个组件库因此也存在安全风险。

目前研究人员已经发现有黑客团队开始利用这个漏洞,所幸如果用户没有关闭 UAC 账户控制的话无法提权。


已有黑客开始利用WinRAR等压缩管理器的漏洞进行攻击

ACE格式的文件是什么:

该文件格式是20年前比较活跃的压缩文件归档格式,最初.ACE格式使用率高于.RAR但后来被.RAR格式反超。

同时ACE格式也是专有的即没有开源或者是免费提供等,如果想要打包ACE格式只能使用开发商提供的软件。

不过开发商允许其他软件调用软件库提取ACE格式的文档,即第三方软件可以打开ACE文档但不能修改压缩。

也正是如此多数压缩管理器为兼容ACE格式的文档会内置其软件库,被安全公司发现漏洞的正是这个软件库。

开启UAC账户控制还是很重要的:

据奇虎360 威胁情报中心透露目前已经拦截到携带恶意代码的压缩文件,这个文件正是利用ACE软件库漏洞。

这个恶意文件利用钓鱼邮件进行传播, 但在进行漏洞利用时需要获得管理员权限所以会弹出 UAC 账户控制。

只要用户没有点确定给予其管理员权限则对应的代码无法运行,若给予权限则将恶意软件设置计划启动任务。

当用户下次启动电脑时恶意软件实现开机自启动,然后连接到攻击者的服务器下载各种渗透工具和广告软件。

谷歌VirusTotal在线扫描显示目前部分安全软件已经可以拦截此病毒,不过多数的杀毒软件尚无法对其拦截。


已有黑客开始利用WinRAR等压缩管理器的漏洞进行攻击

简单粗暴的解决方案:

不论你使用的是什么压缩管理器都可以直接打开安装目录,然后将其中UNACEV2.DLL软件库彻底删除即可。

理论上只要删除这个软件库即便有通过ACE文档进行攻击也无法利用漏洞,这种处理方式可以快速解决问题。

目前诸如WinRAR在内的部分压缩管理器已经开始发布新版本,其实新版本也就是直接删除UNACEV2.DLL。

这个软件库已经19年没更新同时也没人继续维护,这次安全事件后估计 ACE 专有格式也被加速从市场清除。

推荐阅读