知名压缩管理器WinRAR在8月份发布6.23修复 CVE-2023-38831 漏洞,该漏洞目前已经遭到黑客广泛利用。谷歌威胁分析小组最近观察到很多国家支持的黑客组织还是利用该漏洞,包括针对其他国家的基础设施攻击。
尽管目前漏洞已经得到修复,但由于WinRAR缺乏自动更新功能,因此还有相当多的用户使用的是老旧版本。攻击者只需要制作特定文件诱导受害者加载即可,一旦打开压缩包就可以触发漏洞从而引起任意代码执行等。
请务必下载更新至6.23及后续版本: WinRAR再被发现已被利用的漏洞 请所有用户立即更新6.23版(附下载)
此前漏洞刚被公布时基于安全考虑漏洞细节并未被发布,只知道从今年春季开始已有黑客利用漏洞展开攻击。现在漏洞的部分细节已经被公布,这是个逻辑漏洞,在WinRAR打开文件扩展名包括空格的文件时触发错误。这会导致临时文件与Windows ShellExecute (用来注册关联协议) 发生不相关扩展进而让黑客执行任意代码。攻击者可以制作看似无害的PNG或PDF放在压缩包里诱导用户使用WinRAR打开,这样就可以完成初步攻击。该漏洞由网络安全公司Group-IB发现并通报给RARLAB,研究发现此漏洞的利用时间可以追溯到2023年4月。最初攻击者只要利用此漏洞针对金融交易者来窃取财务相关的资料,这时候还属于漏洞在小范围中悄悄利用。到2023年8月漏洞被修复但细节未公开时,黑客通过逆向找到漏洞,在 GitHub 上也有人上传概念验证程序。随后这个漏洞立即被引爆在短短几天内就有大量黑客利用,到现在更多国家支持的黑客集团也开始利用起来。WinRAR在全球的安装量非常庞大,但由于该软件本身不支持自动更新,因此很多人还不知道出现重大漏洞。何况对于一般用户来说别人发来的文件打开就是,也不会考虑是否存在钓鱼情况,因此黑客的成功率非常高。可以预见的是这个漏洞可能会在接下来很长一段时间里都会被利用,估计到时候勒索软件也都会用上该漏洞。