中国的360威胁情报中心2月25日透过Twitter警告,首个开采WinRAR安全漏洞的恶意软件已经现身。这是因为由南韩资安业者ESTsecurity所打造的防病毒软件ALYac扫到了开采CVE-2018-20250漏洞的攻击程序,并将它上传至VirusTotal,而该漏洞即是WinRAR日前被披露的漏洞之一。资安业者Check Point以WinAFL模糊测试工具找到了WinRAR的4个安全漏洞,包含CVE-2018-20250、CVE-2018-20251、CVE-2018-20252与CVE-2018-20253,其中的CVE-2018-20250与用来解析ACE档案的unacev2.dll有关,它是一个(Path Traversal)漏洞,允许黑客将档案解压缩到任何的路径上,因此黑客只要打造一个恶意的ACE档案,诱导WinRAR用户开启,就能把暗藏的恶意软件解压缩到Windows上的启动文件夹( Startup Folders),而且黑客还可将.ACE档案更名为.RAR,让使用者更容易上当。
根据360威胁情报中心的说法,黑客是透过电子邮件来散布含有恶意软件的RAR档案,倘若关闭了用户帐户控制(User Account Control,UAC)功能,它就能以木马程序感染计算机。资安新闻网站Bleeping Computer则下载了该病毒样本,显示在关闭UAC之后,WinRAR就能以管理员权限将解压缩过后的恶意档案存放在启动文件夹,重新启动计算机时恶意软件便会链接远程服务器以下载各种档案,包含黑客常用的渗透测试工具Cobalt Strike Beacon,以利黑客自远程访问用户计算机。WinRAR在得知相关漏洞之后,并没有打算修补它,而是决定直接移除对ACE压缩文件案的支持,但相关的变更仅存在于1月28日释出的WinRAR 5.7 Beta版,资安社群亦预期会有愈来愈多的攻击程序现身,意谓着WinRAR 5.61及以前版本的用户正面临巨大的安全风险。资安专家建议WinRAR用户可移除该软件并改用其它解压缩工具,或者也可采纳由0patch团队暂时提供的微修补解决方案。