自Check Point的安全研究團隊通知RARLab存在越界寫入(out of bounds write)漏洞時,ASRC團隊即開始留意此漏洞被用於郵件攻擊的狀況。這個漏洞約莫於2019年2月20日被披露,大約兩天內,ASRC與中華數位團隊就偵測到了利用此漏洞的APT攻擊。
該漏洞肇因於WinRAR引用第三方函式庫UNACEV2.DLL用於支援ACE這種壓縮格式。UNACEV2.DLL存在一個在解壓縮時可寫入及執行任意檔案的漏洞,且這個函式庫自2005年以來便沒有更新,造成了十多年來WinRAR的各種版本皆受此漏洞的影響。
由於WinRAR的開發團隊不握有的原始碼,因此在近期WinRAR 5.7版,以取消對ACE壓縮格式的支援的方式解決這個漏洞。若您或您所在的企業組織有使用WinRAR作為壓縮、解壓縮工具,請務必更新至WinRAR 5.7版以上。
該漏洞雖發生於解壓縮 ACE 格式的壓縮檔才會觸發,但由於許多個人或企業單位不使用或沒聽過ACE這種壓縮格式,因而輕忽此漏洞的危險性。實際的攻擊,只要能呼叫出UNACEV2.DLL,並不一定需要副檔名看來是.ace的壓縮檔。
ASRC研究團隊最新觀測到的攻擊來自遭到入侵的非公務信箱,針對特定高科技企業與政府單位寄送含有漏洞利用的惡意檔案進行攻擊,其副檔名為.rar。當收件人試圖使用WinRAR解壓縮檔案查看其中內容時,便會遭到夾帶於惡意檔案中的惡意程式攻擊,並在每次開機都會執行特定的惡意程式。這個惡意程式蒐集加密受攻擊者的電腦機敏資訊加密後,利用Dropbox免費空間進行惡意工具的下載與機敏資料的上傳。