WinRAR高危漏洞分析与防护指南

WinRAR高危漏洞分析与防护指南 漏洞概述 WinRAR软件的UNACEV2.dll代码库中存在严重安全漏洞(CVE-2018-20250至CVE-2018-20253)，可导致任意代码执行。该漏洞影响全球超过5亿用户，不仅影响WinRAR，还包括Bandizip、360压缩、好压等共计38款使用该库的解压工具。 漏洞技术细节 漏洞根源 漏洞存在于UNACEV2.dll库中，该库为2006年编译的动态链接库文件 该库没有任何保护机制，存在路径遍历漏洞 漏洞允许提取文件到任意路径并完全忽略目的文件夹 提取的文件相对路径会被作为完全路径处理 具体漏洞类型 ACE文件验证逻辑绕过漏洞 (CVE-2018-20250) ACE文件名逻辑验证绕过漏洞 (CVE-2018-20251) ACE/RAR文件越界写入漏洞 (CVE-2018-20252) LHA/LZH文件越界写入漏洞 (CVE-2018-20253) 攻击利用方式 攻击者可通过以下方式利用该漏洞： 通过钓鱼邮件发送恶意构造的压缩包文件 诱使用户使用受影响版本的WinRAR等工具打开压缩包 利用漏洞将恶意代码写入系统启动目录 或写入恶意dll劫持其他软件进行执行 最终实现对用户主机的任意代码执行攻击 影响范围 受影响软件 WinRAR (所有使用UNACEV2.dll的版本) Bandizip 360压缩 好压 其他共计38款解压/文件管理工具 受影响用户 全球超过5亿用户 特别是政企用户面临高风险 防护措施 即时处置方案 WinRAR用户 ：升级至已修复漏洞的5.70 Beta 1或更高版本 官方下载地址：https://www.win-rar.com/download.html 其他解压工具用户 ： 检查软件安装目录下是否存在unacev2.dll文件 升级软件至最新版本 或直接删除unacev2.dll文件 长期防护建议 部署邮件安全解决方案，如中睿天下睿眼·邮件溯源取证系统，可检测压缩包中的恶意文件并告警 提高员工安全意识，警惕可疑邮件附件 建立压缩文件安全检查流程 定期更新所有解压工具软件 参考资源 CheckPoint研究报告：https://research.checkpoint.com/extracting-code-execution-from-winrar/ CNVD漏洞公告：http://www.cnvd.org.cn/webinfo/show/4903 嘶吼漏洞分析：https://www.4hou.com/vulnerable/16314.html 总结 此漏洞影响范围广、危害严重，攻击者可轻易获取计算机控制权。随着漏洞利用原理公开，预计会出现大规模钓鱼邮件攻击。建议所有用户立即采取防护措施，特别是政企用户应高度重视，及时更新软件并部署专业防护方案。