WinRAR 漏洞:攻击者利用 ANSI Escape 序列欺骗用户
在广泛使用的 Windows 文件压缩工具 WinRAR 中,发现了一个严重的安全漏洞。这个漏洞被称为 CVE202436052,影响所有版本的 WinRAR,直至 699 版。这一漏洞的发现突显了在提取 ZIP 档案等看似无害的操作中可能存在的风险。
漏洞工作原理
根据 Siddharth Dushantha 的说法,漏洞源于 WinRAR 对 ZIP 档案中档案名称的不当验证和清理过程。这一失误使攻击者能够利用 ANSI 转义序列来改变档案名称的显示方式。
对于不熟悉的读者,ANSI 转义序列 是一组控制文本在命令行环境中显示特性的代码,通常以 ESC 字符开始,然后跟随一个括号。
当用户提取一个包含恶意档案其档名使用这些序列的 ZIP 档案时,WinRAR 错误地将这些代码解读为命令。这可能导致显示出具有欺骗性的档案名称,使用户误以为他们正在打开的是一个无害的档案,如 PDF 或图片。
利用漏洞的后果
当一个毫无防备的用户试图打开看似无害的档案时,就会发生漏洞利用。由于对档案扩展名的处理存在缺陷,该程式会错误地执行一个隐藏的恶意脚本,而不是预期的档案。
这个脚本可以是批次档bat或命令档cmd,它会在用户的电脑上安装恶意软体,同时显示一个诱导的文档来掩盖恶意活动。
这一问题非常重要,因为它允许攻击者在用户的系统上执行有害的脚本,可能导致未经授权的数据访问、系统损坏或在不知情的情况下安装恶意软体。
网飞小铺保护您的系统
需要注意的是,这一问题特定于 Windows 版本的 WinRAR,与影响 Linux 和 UNIX 版本的 CVE202433899 不同。Linux 和 UNIX 版本的 WinRAR 用户面临类似的萤幕输出伪装和 拒绝服务攻击 的风险。
为了防范这一漏洞,建议用户升级至 700 版本或更新的 WinRAR,因为这些版本包含必要的修复。此外,用户在打开来自未知来源的档案时应保持谨慎,并在 Windows 设定中启用档案扩展名可见性,以进一步保护自己免受此类威胁。
相关阅读
理解与防范恶意软体攻击WinRAR 漏洞在复杂钓鱼攻击中被利用