Cảnh báo lỗ hổng mới WinRAR – Hướng dẫn cách xử lý
Một lỗ hổng zero-day nguy hiểm mới được phát hiện trên phiên bản mới nhất phần mềm WinRAR ảnh hưởng đến hàng triệu người dùng trên toàn thế giới. Theo nhà nghiên cứu Mohammad Reza Espargham, tại Vulnerability-Lab, phiên bản WinRAR 5.21 mới nhất dành cho Windows dễ tổn thương trước lỗ hổng ...
Một lỗ hổng zero-day nguy hiểm mới được phát hiện trên phiên bản mới nhất phần mềm WinRAR ảnh hưởng đến hàng triệu người dùng trên toàn thế giới.
Theo nhà nghiên cứu Mohammad Reza Espargham, tại Vulnerability-Lab, phiên bản WinRAR 5.21 mới nhất dành cho Windows dễ tổn thương trước lỗ hổng thực thi mã từ xa (RCE).
WinRAR là một trong những tiện ích phổ biến nhất được sử dụng để nén và giải nén file với hơn 500 triệu lượt cài đặt trên toàn thế giới. Lỗ hổng mới được đánh giá mức độ nghiêm trọng cực kì cao với 9 điểm trong thang CVSS. (Common Vulnerability Scoring System).
Lỗ hổng mới hoạt động như thế nào?
Lỗ hổng có thể được sử dụng bởi bất kì tin tặc nào nhằm trực tiếp chèn mã HTML độc hại vào trong phần “Text to display in SFX window” khi người dùng tạo ra một SFX file mới.
WinRAR SFX là kiểu thực thi của file bị nén, chứa một hoặc nhiều file và có khả năng giải nén nội dung. Theo video bản chứng minh PoC công bố bởi Espargham, lỗ hổng cho phép tin tặc từ xa thực thi mã tùy ý trên máy tính của nạn nhân khi mở một SFX file.
Khai thác yêu cầu độ tương tác người dùng thấp, dẫn đến xâm nhập toàn bộ hệ thống, mạng và các thiết bị khác. Hiện tại chưa có bản vá lỗ hổng WinRar.
Theo chia sẻ của blogger Juno_okyo, dù bạn có gỡ bỏ WinRar hãy sử dụng các phần mềm nén/giải nén file khác như WinZip, 7Z, bạn vẫn không thể tránh được lỗ hổng này vì file SFX có đuôi .exe thực thi bởi Windows.
Khi tải một tập tin *.exe từ trên mạng hoặc do ai đó gửi cho bạn, hãy làm theo 1 trong các cách sau:
—–
1. Nhấn phải chuột vào tập tin EXE đó, nếu thấy có mấy menu để giải nén thì đó 96,69% là SFX, vì SFX cũng có các menu như định dạng *.rar, *.zip (chú ý là cài WinRAR mới thấy mấy menu như trong video).
2. Sử dụng PeID để nhận diện như trong video bên dưới.
3. Nhấn phải chuột vào EXE > chọn Properties (Thuộc tính). Nếu trong cửa sổ Properties có thêm thẻ Archive (Lưu trữ) thì đây là một tập tin SFX.
—–
Khi phát hiện ra SFX, tuyệt đối KHÔNG MỞ LÊN, mà hãy nhấn phải chuột > chọn Extract Here (giải nén tại đây). Đây là cách mở an toàn, đảm bảo đoạn mã độc nhúng không được thực thi!
https://youtu.be/h53MoRIYBcc
Hãy chia sẻ cho bạn bè để cảnh báo họ!
THN