- 工信部备案号 滇ICP备05000110号-1
- 滇公安备案 滇53010302000111
- 增值电信业务经营许可证 B1.B2-20181647、滇B1.B2-20190004
- 云南互联网协会理事单位
- 安全联盟认证网站身份V标记
- 域名注册服务机构许可:滇D3-20230001
- 代理域名注册服务机构:新网数码
经过多环境测试,浅谈下我的角度对这个漏洞的看法。主要从试验结果分享、防御测试、止损修复和可利用设想的角度来谈论。
一、利用环境
首先说系统级,基本所有Windows系列操作系统都会受到影响。(实测2003Server、2008Server、Win10企业版)
然后是应用级。目前实测有360压缩4.0.0.1170和4.0.0.1180两个版本,均对此漏洞无效。近期360解压缩版本更新日志附图。
经测试,两个版本均无法打开恶意RAR文件,结果如图。
后更新环境,在WinRAR 5.61环境下测试,成功复现。最新版本WinRAR未测试。
仅测试两个主流应用环境,其他报出环境未测试。
二、防御测试
本地环境未测试,在服务器环境测试结果如下。
该漏洞原理主要是在开机启动目录下添加启动程序,按照这个思路进行如下测试。
CMD窗口进入启动设置。
服务器默认设置如上图,后更改为下图。
选择后应用,自动跳转配置如上图。
测试结果:
远程桌面自启项都被禁用了,用KVM接上以后测试用自启项依然成功启动。
经测删除受影响压缩软件目录下UNACEV2.dll文件能有效防御,解压过程会报错。
其他防御方式暂未测试。
三、止损修复
测试过程使用.exe可执行文件测试,未使用脚本等测试。所以只删除了开机启动目录文件即可修复。
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
可参考路径如上。
四、利用设想
根据目前使用的程序打包形成的漏洞RAR文件,及上述过程,主观感受如下。
利用点非常狭窄。首先对服务器来说,要求解压软件使用WinRAR < 5.70 Beta 1版本,目录调整为“Administrator”在服务器环境上命中率还算高。
该部分改为绝对路径。
在本地机上就不能使用绝对路径,受用户名不可定影响。并且受打包时目录配置影响,必须在桌面解压才能自适应路径,或者多猜几个启动项路径。
也就是说,在服务器上利用,在任何目录下使用WinRAR解压缩都可实现,但在个人机可利用性并不高。另外,可执行目录下如果执行的是更为复杂的入侵程序,后果不可知。但被此漏洞入侵,都可以在启动目录下找到相应入侵程序。不过安全无绝对。
删除受影响压缩软件目录下UNACEV2.dll文件能有效防御。
总而言之,该漏洞并没有那么致命。目标性的打站,得先欺骗下载,并再在未防护的服务器上解压,企业服务器管理员都很难会这样做。而且必须得服务器重启才能生效,不能直接执行脚本。不过这个漏洞危不危险要相关于如何利用了,当成知识点储备到大脑知识库里还是个不错的选择~!
另外再往下深入的利用,和再往上层的源码构造没有深入测评。
分享些拙见,希望能对读者有些许帮助。
售前咨询
售后咨询
备案咨询
二维码
TOP