Alpine Technology Manufacturing (Thailand) Co.,Ltd.

ระวังภัยช่องโหว่ใน WinRAR

Winrar protection WinRAR เป็นโปรแกรมบีบอัดไฟล์ที่มีผู้ใช้งานกว่า 500 ล้านคนทั่วโลก (อ้างอิงจากเว็บไซต์ของผู้พัฒนาโปรแกรม) เมื่อวันที่ 20 กุมภาพันธ์ 2562 นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Check Point ได้รายงานช่องโหว่ประเภท Path Traversal ในโปรแกรม WinRAR ซึ่งเปิดโอกาสให้ผู้ไม่หวังดีสามารถติดตั้งมัลแวร์ลงในเครื่องคอมพิวเตอร์ของเหยื่อได้

ข้อมูลทั่วไป

WinRAR เป็นโปรแกรมบีบอัดไฟล์ที่มีผู้ใช้งานกว่า 500 ล้านคนทั่วโลก (อ้างอิงจากเว็บไซต์ของผู้พัฒนาโปรแกรม) เมื่อวันที่ 20 กุมภาพันธ์ 2562 นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Check Point ได้รายงานช่องโหว่ประเภท Path Traversal ในโปรแกรม WinRAR ซึ่งเปิดโอกาสให้ผู้ไม่หวังดีสามารถติดตั้งมัลแวร์ลงในเครื่องคอมพิวเตอร์ของ เหยื่อได้ ช่องโหว่นี้มีรหัส CVE-2018-20250 มีคะแนน CVSS 7.8 (High) ปัจจุบันพบการโจมตีโดยอาศัยช่องโหว่นี้แล้ว

สาเหตุของช่องโหว่เกิดจากโปรแกรม WinRAR ใช้ไลบรารี UNACEV2.dll สำหรับขยาย (extract) ไฟล์นามสกุล .ace ซึ่งเป็นไฟล์ที่ถูกบีบอัดด้วยโปรแกรม WinACE [4] ไลบรารี UNACEV2.dll มีช่องโหว่ในส่วนของการตั้งชื่อไฟล์ที่อนุญาต ให้ใส่อักขระพิเศษ คือ / \ * ในชื่อไฟล์ได้ (โดยปกติแล้วระบบปฏิบัติการจะไม่อนุญาตให้ตั้งชื่อไฟล์ในลักษณะนี้) อักขระพิเศษ ที่สามารถใส่เข้าไปได้นั้นใช้เพื่อระบุตำแหน่งของไฟล์หรือไดเรกทอรีในระบบ ส่งผลให้ผู้ประสงค์ร้ายสามารถสร้างไฟล์บีบอัด ประเภท .ace ที่ฝังมัลแวร์เอาไว้แล้วแก้ไขชื่อไฟล์ให้มีอักขระพิเศษเพื่อระบุถึงตำแหน่งไดเรกทอรีอื่นในเครื่องได้ หากผู้ใช้ขยาย ไฟล์ .ace ดังกล่าวโดยใช้โปรแกรม WinRAR ไฟล์มัลแวร์จะถูกนำไปไว้ในตำแหน่งที่ผู้ประสงค์ร้ายกำหนด ซึ่งอาจก่อให้เกิด ความเสียหายต่อระบบหรือข้อมูลของผู้ใช้งานได้ ทั้งนี้ นักวิจัยได้ยกตัวอย่างการโจมตีโดยติดตั้งโปรแกรมมัลแวร์ไว้ในไดเรกทอรี Startup ซึ่งจะทำให้ตัวมัลแวร์ถูกเรียกขึ้นมาทำงานโดยอัตโนมัติทุกครั้งที่เปิดเครื่อง

เมื่อวันที่ 28 กุมภาพันธ์ 2562 ทางผู้พัฒนา WinRAR ได้ออกอัปเดตเวอร์ชัน 5.70 เพื่อแก้ไขปัญหานี้แล้ว อย่างไรก็ตาม เนื่อง จากโปรแกรม WinACE ไม่ได้รับความนิยมและหยุดพัฒนาไปตั้งแต่ปี 2550 ทำให้ทีมพัฒนาของ WinRAR ไม่สามารถแก้ไข ช่องโหว่ในไลบรารี UNACEV2.dll ได้ จึงตัดสินใจถอนการสนับสนุนไฟล์ .ace ตั้งแต่ WinRAR เวอร์ชัน 5.70 เป็นต้นไป

ผลกระทบ

หากผู้ใช้ขยายไฟล์บีบอัดที่ถูกสร้างขึ้นมาเพื่อโจมตีผ่านช่องโหว่ก็มีความเสี่ยงที่จะถูกติดตั้งมัลแวร์ลงในเครื่องได้ ทั้งนี้ เนื่องจากโปรแกรม WinRAR ไม่ได้ขยายไฟล์โดยอ้างอิงจากนามสกุลของไฟล์แต่จะพิจารณาจากส่วนหัวของไฟล์ ทำให้ผู้ประสงค์ร้ายสามารถเปลี่ยนนามสกุล ไฟล์จาก .ace เป็น .rar เพื่อหลอกลวงได้

ปัจจุบันมีรายงานการโจมตีโดยอาศัยช่องโหว่นี้แล้ว เช่น ใช้ภาพลามก หรือใช้เพลงละเมิดลิขสิทธิ์ เพื่อหลอกล่อให้ผู้ใช้ขยายไฟล์ออกมาดู

ระบบที่ได้รับผลกระทบ

WinRAR เวอร์ชันต่ำกว่า 5.70

ข้อแนะนำในการป้องกันและแก้ไข

ผู้ใช้ควรอัปเดตโปรแกรม WinRAR เป็นเวอร์ชัน 5.70 โดยเร็วที่สุด ทั้งนี้ เนื่องจากโปรแกรม WinRAR ไม่มีความสามารถในการติดตั้งอัปเดต อัตโนมัติ ผู้ใช้จำเป็นต้องดาวน์โหลดโปรแกรมเวอร์ชันล่าสุดจากเว็บไซต์ของผู้พัฒนา (www.win-rar.com) มาติดตั้งด้วยตนเอง

หากยังไม่สามารถอัปเดตได้ อาจพิจารณาเปลี่ยนไปใช้โปรแกรมอื่นในการขยายไฟล์บีบอัด เช่น 7-Zip หรือลบไฟล์ UNACEV2.dll ออกจาก เครื่องเพื่อลดความเสี่ยงและผลกระทบ โดยไฟล์ดังกล่าวอยู่ในไดเรกทอรีที่ติดตั้งโปรแกรม WinRAR

นอกจากนี้ ผู้ใช้ควรพิจารณาติดตั้งแอนติไวรัสและอัปเดตฐานข้อมูลอย่างสม่ำเสมอเพื่อให้สามารถตรวจจับมัลแวร์ใหม่ๆ ได้

อ้างอิง

1. https://www.win-rar.com

2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20250

3. https://nvd.nist.gov/vuln/detail/CVE-2018-20250

4. https://research.checkpoint.com/extracting-code-execution-from-winrar/