WinRAR目录穿越漏洞(CVE-2018-20250)技术分析与防护指南

WinRAR目录穿越漏洞(CVE-2018-20250)技术分析与防护指南 漏洞概述 WinRAR是一款全球广泛使用的压缩解压工具，用户量达数亿。2019年2月，CheckPoint安全研究员Nadav Grossman披露了WinRAR中存在一个严重的目录穿越漏洞(CVE-2018-20250)，该漏洞存在于UNACEV2.dll模块中，允许攻击者通过精心构造的ACE压缩文件实现任意代码执行。 受影响版本 WinRAR < 5.70 Beta 1 Bandizip ≤ 6.2.0.0 好压(2345压缩) ≤ 5.9.8.10907 360压缩 ≤ 4.0.0.1170 漏洞技术细节 漏洞位置 漏洞存在于WinRAR的UNACEV2.dll模块中，该模块用于解析ACE文件格式。该DLL文件自2005年8月26日以来未更新，意味着漏洞已存在10多年之久。 漏洞原理 目录穿越漏洞 ：在解压处理过程中存在目录穿越漏洞，允许解压过程中将文件写入任意路径 缺乏安全机制 ：UNACEV2.dll模块不具备ASLR(地址空间布局随机化)等现代安全保护机制 启动文件夹利用 ：攻击者可利用此漏洞将恶意文件解压到系统启动文件夹中，如： C:\ProgramData\Microsoft\Windows\StartMenu\Programs\StartUp C:\Users\<用户名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 攻击方式 攻击者可以： 构造一个恶意的ACE压缩文件 通过文件名字段中的精心构造字符串触发漏洞 将恶意可执行文件解压到系统启动文件夹 当系统重启时，恶意代码会自动执行 漏洞验证 在WinRAR 5.5版本中： 解压文件时会加载UNACEV2.DLL模块 该模块修改时间为2005年8月26日 模块不具备ASLR等保护机制 修复方案 立即措施 ： 删除UNACEV2.dll文件(位于WinRAR安装目录) 长期方案 ： 升级到WinRAR 5.70 Beta 1或更高版本 对于其他受影响压缩软件，升级到最新安全版本 其他建议 ： 不要打开来源不明的压缩文件 定期检查系统启动文件夹是否有可疑文件 在企业环境中可通过组策略限制对启动文件夹的写入权限 漏洞影响评估 该漏洞影响范围广，危害严重： 影响全球数亿WinRAR用户 可导致完全控制系统 漏洞存在时间长(10多年) 利用门槛相对较低 总结 WinRAR目录穿越漏洞是一个高危漏洞，攻击者可通过构造恶意ACE文件实现任意代码执行。建议用户立即采取修复措施，特别是企业用户应优先处理此漏洞，防止被利用造成数据泄露或系统被控等安全事件。