Windows 用のファイル・アーカイブ WinRAR の RCE 脆弱性

Bug in Popular WinRAR Software Could Let Attackers Hack Your Computer

2021/10/21 TheHackerNews — Windows 用のファイル・アーカイブ・ユーティリティー WinRAR の試用版で、新たなセキュリティ上の欠陥が発見された。この脆弱性を悪用するリモートの攻撃者が、標的となるシステム上で任意のコードを実行し、さまざまな攻撃にいたる可能性がある。

この、CVE-2021-35052 として追跡されている脆弱性は、Ver 5.70 の試用版に影響するものとなる。Positive Technologies の Igor Sak-Sakovskiy はテクニカル・レポートの中で、「このアプリケーションのユーザーに送られるリクエストを、攻撃者は傍受/変更することが可能となる。つまり、被害者のコンピュータ上でリモートコード実行 (RCE) を達成するために、この脆弱性を悪用できる」と述べている。

Sak-Sakovskiy によると、現在は廃止されている Internet Explorer 独自のブラウザ・エンジンであり、Word/Excel/PowerPoint のドキュメント内で Web コンテンツをレンダリングする、MSHTML (別名 Trident) の JavaScript エラーを観測したことから、WinRAR の調査が始まったとのことだ。試用期間終了後に WinRAR を起動すると、3回に1回の割合でエラー・ウィンドウが表示されることが判明したという。

Positive Technologies の発見は、WinRAR が notifier.rarlab[.]com 経由で、ユーザーに無料試用期間の終了を通知するレスポンスコードが傍受され、301 Moved Permanently リダイレクト・メッセージの変更により、攻撃者が管理する悪意のドメインへのリダイレクトが可能となる点だ。そして、その後の全リクエストに対してキャッシュが可能になるという。

さらに、同じネットワーク・ドメインに、すでにアクセスしている攻撃者は ARP (Address Resolution Protocol) Spoofing 攻撃を行い、リモートからのアプリケーション起動や、ローカル・ホスト情報の取得、任意のコード実行を可能にする。

Sakovskiy は、「企業が直面する最大の課題の一つとして、サードパーティ製ソフトウェアの管理がある。一度、インストールされたサードパーティ製ソフトウェアは、企業のネットワークにアクセスするデバイスのデータを、読書/変更することが可能となる」と指摘している。

彼は、「ユーザーがインストールする可能性のある、すべてのアプリケーションを監査することは不可能であるため、外部アプリケーションに関連するリスクを管理し、そのアプリケーションに対するニーズとの、バランスを取るためのポリシーが重要になる。不適切な管理は、広範囲に影響を及ぼす可能性を生じる」と述べている。

WinRAR を使ったことはありませんが、おそらく、すべてが手元で完結するツールだと思います。しかし、インターネットからダウンロードしたアプリは、プロバイダーの Web と必ず連携しているため、その通信を傍受されると、このような危険性が生じるという事例なのでしょう。以前のポストに、「Web アプリのパスワード・リセットと DNS スプーフィングの組合せは最悪の結果を招く」という記事もあります。よろしければ、あわせて ど〜ぞ。

%d bloggers like this: