來自伊朗的獨立安全研究員Mohammad Reza Espargham透過資安郵件論壇Full disclosure揭露了WinRAR中SFX模組的一項重大安全漏洞,該漏洞允許駭客遠端執行惡意程式,目前尚無CVE編號。不過,WinRAR卻不認為這是個安全漏洞,認為沒有修補的必要。
WinRAR為一支援Windows的檔案壓縮管理軟體,能將檔案壓縮成RAR或ZIP格式,也能解開不同格式的壓縮檔。它還有支援Android的程式,以及支援Linux、FreeBSD與Mac OS X的命令列版本,估計全球用戶數已超過5億。目前最新的正式版為今年2月發表的WinRAR 5.21,並正在測試WinRAR 5.30。
據Espargham說明,WinRAR SFX 5.21正式版中含有一個遠端程式執行漏洞,該漏洞存在於「文字與圖示」功能中的「Text to display in SFX window」模組中,駭客在產生自己的SFX檔案時可藉此嵌入惡意程式碼,只要使用者開啟惡意的SFX檔就能觸發攻擊行動。
而在使用者端,只要開啟惡意檔案就馬上遭受攻擊,無需其他互動或高級權限,Espargham亦已公布針對此一漏洞的概念性攻擊程式。
SFX的全名為self-extracting(自解壓縮檔),這也是一個執行檔,不需其他軟體就能自行解壓縮,除了含有壓縮檔案之外,也內含許多可自動執行的解壓縮指示,以協助使用者將檔案放置在正確的位置。
根據資安業者MalwareBytes的說明,駭客在建立SFX檔案時,可在Text to display in SFX window中加入HTML語法,使用者開啟SFX時就會執行該語法。
WinRAR很快便提出說明指出,舉凡是執行檔都有潛在的危險,WinRAR的SFX檔案跟其他的執行檔並無不同,使用者都必須確保執行檔來源的可信度。
WinRAR認為,使用者並不容易判斷SFX檔案中可執行的部份是來自於WinRAR的SFX模組或是其他程式碼,任何惡意程式都能嵌入到SFX檔案夾(archive)的執行模組中並傳送給使用者,所以討論SFX檔案的漏洞是沒有意義的。
WinRAR還說,限制SFX模組的HTML功能只會傷害到正規使用者,但對於防治壞人卻一點作用也沒有。就算修補這類漏洞亦無太大幫助,因為SFX就像任何執行檔一樣,皆具備潛在的安全風險,而且SFX的自動執行能力是安裝軟體所需的官方功能。WinRAR也表示,我們只能提醒使用者,要開啟任何執行檔時,包括SFX,一定要確定是來自可靠來源的檔案。(編譯/陳曉莉)