最新的WinRAR漏洞在野外被用来攻击Windows计算机

几天前，《黑客新闻》报道了一个19岁的远程代码执行漏洞，该漏洞由UNACEV2中的Check Point披露。WinRAR的dll库，该库允许恶意创建的ACE存档文件在目标系统上执行任意代码。

WinRAR是一款流行的Windows文件压缩应用程序，在全球拥有5亿用户，但在其旧的第三方库UNACEV2中存在一个关键的“绝对路径遍历”错误（CVE-2018-20250）。DLL，可允许攻击者将压缩的可执行文件从ACE存档提取到其中一个Windows启动文件夹，该文件将在下次重新启动时自动运行。

要成功利用该漏洞并完全控制目标计算机，攻击者只需说服用户使用WinRAR打开恶意创建的压缩归档文件。

就在Check Point的博客帖子和一段概念验证视频（展示了ACE存档如何将恶意文件提取到Windows Startup文件夹）公开一天后，新发现的WinRAR漏洞的概念验证（PoC）攻击代码发布到Github。

更糟的是什么？

就在昨天，360威胁情报中心（360TIC）的安全研究人员检测到一个恶意垃圾邮件活动，该活动正在分发一个恶意RAR存档文件，该文件利用最新的WinRAR漏洞在运行该软件易受攻击版本的计算机上安装恶意软件。

研究人员在推特上写道：“这可能是第一个通过邮件发送的利用WinRAR漏洞的恶意软件。后门由MSF[Microsoft Solutions Framework]生成，如果UAC关闭，WinRAR会将其写入全局启动文件夹”。

如研究人员分享的屏幕截图所示，当使用WinRAR，打开时，以管理员权限运行的软件或在禁用UAC（用户帐户控制）的目标系统上运行的软件，该恶意软件会将一个恶意的exe文件（cmstraste.exe）放入Windows Startup文件夹，目的是通过后门感染目标计算机。

由于UAC对权限进行了一些限制，试图在启用UAC的情况下提取存档文件时，无法将恶意的exe文件放入C:\ProgramData文件夹，从而无法感染计算机。

保护自己免受这些攻击的最佳方法是通过尽快安装最新版本的WinRAR来更新软件，并避免打开来自未知来源的文件。

因为WinRAR团队失去了对易受攻击的UNACEV2的源代码的访问权。DLL库在2005年，它没有解决这个问题，而是发布了WINRar版本5.70 beta 1，不支持DLL和ACE格式。此修复程序解决了该漏洞，但同时也删除了WinRAR的所有ACE支持。