CVE-2018-20250被確定為安全漏洞，2019- 2月份公開的一個存在已久的WinRAR漏洞現在正成為最近被廣泛和快速利用的安全漏洞之一。
 
根據最新的證據是微軟Office 365威脅研究團隊的一份報告，認為它被”Muddy Water”威脅組織利用，使用ATP (Advanced Persistent Threat進階持續性滲透攻擊)來針對衛星和通訊產業的組織來攻擊。
 
可能有些人對WinRAR不太熟悉，它是一種非常受歡迎的Windows壓縮工具，可以追溯到1990年代，先前也被一家安全公司發現，它有一個嚴重的RCE缺陷漏洞並已存在了19年之久且沒有人發現。
 
WinRAR的漏洞對於網路犯罪分子來說無法抗拒，短短一周內就引發騷動並攻擊超過100次以上。
 
利用這個漏洞須透過一種檔案格式名為ACE，在WinRAR 5.71 beta發佈後，開方人員因為此漏洞的問題便停止對ACE檔案格式的支援。
 
不幸的是該漏洞已被披露了幾週，但新聞傳播緩慢，許多用戶仍未能更新。
 
對此次的針對性攻擊議題，微軟部落格對於尚未更新的組織或個人用戶的使用者發出了警告。
 
在3月初發現，它是一種複雜且目的為滲透另一個國家的電腦或網路進行破壞和擾亂的網路釣魚攻擊行為，偽裝聲稱來自阿富汗外交部的Word附件誘餌。
 
點開此附件將觸發從OneDrive連結 (現在處於非活動狀態) 並進一步下載包含第二個 Word 檔的存檔，該檔嵌入了啟動有效負載的指令。
 
再來是PowerShell script，它開啟一個執行命令後門，讓攻擊者使用CVE-2018-20250漏洞傳遞惡意ACE檔案。
 
這涉及的內容是因為攻擊者仍然必須通過虛假警告通知來欺騙用戶必須重新啟動電腦，來使攻擊奏效。儘管如此這種攻擊建立在受騙機率上，假設有人因這個詭計而上當 – 會比起針對性準攻擊來的更省力。
 
令人關注的是，微軟在眾多的攻擊報告中觀察到：

攻擊者馬上利用WinRAR 相同的漏洞來攻擊，在此凸顯了威脅和漏洞管理在降低組織風險方面的重要性。
 
為何一個漏洞能夠這麼久都沒被發現？

因為軟體開發可能很複雜，WinRAR的開發人員在5.71 beta版本的更新說明中指出：

WinRAR使用此第三方套件來解壓縮ACE檔案。 自2005年以來至今UNACEV2.DLL一直尚未更新，由於WinRAR無法存取它的原始碼。 因此我們決定放棄對ACE檔案格式的支援以保護WinRAR使用者的安全。
 
修補或刪除
 
除了修補或刪除WinRAR之外，系統管理員也需發出有關攻擊模式的警告，尤其是在任何情況下都不要打開ACE檔案的警告（請記住這些檔案都可以被重命名以避免被懷疑）。
 
另外一點，不要假設因為到目前為止發現的攻擊是國家滲透破壞攻擊為主要目的而輕忽，即使情況如此，商業攻擊也不久了 - 據報導，WinRAR的5億用戶可能淪為此次攻擊的受害者。
 
原文出處：Flood of exploits targetting ancient WinRAR flaw continues
 
 
【關於Sophos】
Sophos 是端點和網路安全解決方案的領導者，並且是同步安全性的先驅，發展出可以相輔相成的端點、網路、加密、網頁、電子郵件和行動安全解決方案產品組合。有 150 個國家/地區的 1 億多個用戶選擇 Sophos 的解決方案，為複雜的威脅和資料外洩提供最佳防護。Sophos 產品透過全球超過 43,000 家註冊合作夥伴的銷售通路獨家提供。Sophos 總部位於英國牛津，倫敦證券交易所公開上市代號為 "SOPH"。如需更多資訊，請造訪 www.sophos.com。
 
【關於湛揚科技】
湛揚科技是安克諾斯Acronis台灣總代理。成立於2005年致力於協同合作夥伴提供『資料保護，端點安全及虛擬設備防護』等高性價比產品代理及專業服務為公司宗旨。湛揚科技同時也是『F-Secure芬-安全』企業與個人防毒產品台灣總代理，及『SOPHOS』台灣專業代理，提供通路夥伴及企業客戶資安基礎建設必備項目─『新世代備份、防毒、防火牆』。在未來千變萬化的網路應用與建置的環境下，我們堅持帶給客戶性價比最好的安全解決方案，並以達成『客戶滿意』為企業使命及目標。
T-tech.com.tw | facebook.com/Ttech.tw