【CVE-2018-20250】WinRAR漏洞危害测评

2019-02-26 17:21:24 4452


    经过多环境测试,浅谈下我的角度对这个漏洞的看法。主要从试验结果分享、防御测试、止损修复和可利用设想的角度来谈论。


    一、利用环境


        首先说系统级,基本所有Windows系列操作系统都会受到影响。(实测2003Server、2008Server、Win10企业版)


        然后是应用级。目前实测有360压缩4.0.0.1170和4.0.0.1180两个版本,均对此漏洞无效。近期360解压缩版本更新日志附图。


    image.png


    经测试,两个版本均无法打开恶意RAR文件,结果如图。


    image.png


    后更新环境,在WinRAR 5.61环境下测试,成功复现。最新版本WinRAR未测试。


    仅测试两个主流应用环境,其他报出环境未测试。


    二、防御测试


    本地环境未测试,在服务器环境测试结果如下。


    该漏洞原理主要是在开机启动目录下添加启动程序,按照这个思路进行如下测试。


    image.png


    CMD窗口进入启动设置。


    image.png

image.png


    服务器默认设置如上图,后更改为下图。


    image.png


    选择后应用,自动跳转配置如上图。


    测试结果:


    远程桌面自启项都被禁用了,用KVM接上以后测试用自启项依然成功启动。


    image.png


    经测删除受影响压缩软件目录下UNACEV2.dll文件能有效防御,解压过程会报错。


    其他防御方式暂未测试。


    三、止损修复


    测试过程使用.exe可执行文件测试,未使用脚本等测试。所以只删除了开机启动目录文件即可修复。


    C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup


    可参考路径如上。


    四、利用设想


    根据目前使用的程序打包形成的漏洞RAR文件,及上述过程,主观感受如下。


    利用点非常狭窄。首先对服务器来说,要求解压软件使用WinRAR < 5.70 Beta 1版本,目录调整为“Administrator”在服务器环境上命中率还算高。


    image.png


    该部分改为绝对路径。


    在本地机上就不能使用绝对路径,受用户名不可定影响。并且受打包时目录配置影响,必须在桌面解压才能自适应路径,或者多猜几个启动项路径。


    也就是说,在服务器上利用,在任何目录下使用WinRAR解压缩都可实现,但在个人机可利用性并不高。另外,可执行目录下如果执行的是更为复杂的入侵程序,后果不可知。但被此漏洞入侵,都可以在启动目录下找到相应入侵程序。不过安全无绝对。

       

删除受影响压缩软件目录下UNACEV2.dll文件能有效防御。


    总而言之,该漏洞并没有那么致命。目标性的打站,得先欺骗下载,并再在未防护的服务器上解压,企业服务器管理员都很难会这样做。而且必须得服务器重启才能生效,不能直接执行脚本。不过这个漏洞危不危险要相关于如何利用了,当成知识点储备到大脑知识库里还是个不错的选择~!


    另外再往下深入的利用,和再往上层的源码构造没有深入测评。


    分享些拙见,希望能对读者有些许帮助。





提交成功!非常感谢您的反馈,我们会继续努力做到更好!

这条文档是否有帮助解决问题?

非常抱歉未能帮助到您。为了给您提供更好的服务,我们很需要您进一步的反馈信息:

在文档使用中是否遇到以下问题: