Giải mã lỗ hổng WinRAR CVE-2023-38831 với OPSWAT

Tháng một 18 , 2024 bằng cách OPSWAT

Chia sẻ bài viết này

Vào đầu tháng 9 năm 2023, OPSWAT đã ra mắt Chương trình học bổng sau đại học, cung cấp cho sinh viên sau đại học một cơ hội duy nhất để nghiên cứu và giải quyết các lỗ hổng an ninh mạng thực tế ảnh hưởng đến cơ sở hạ tầng trọng yếu hệ thống.

Để làm nổi bật những kết quả của Chương trình học bổng sau đại học OPSWAT , chúng tôi rất vui mừng giới thiệu một loạt blog phân tích kỹ thuật tập trung vào nhiều Điểm yếu và Rủi ro phổ biến (CVE), được xác định và giảm thiểu bằng các công nghệ phát hiện mối đe dọa tiên tiến của chúng tôi.

học bổng sau đại học đội SWAT 1, có sự góp mặt của Hiền Phạm từ Đại học Khoa học và Khang Đoàn từ Đại học FPT Cần Thơ — Nhóm nghiên cứu sinh sau đại học 1 - SWAT 1

Trong blog này, chúng tôi sẽ giải thích về RARLAB WinRAR CVE-2023-38831 và cách các tổ chức có thể phòng thủ chống lại các cuộc tấn công khai thác CVE-2023-38831.

Bối cảnh về CVE-2023-38831

WinRAR, một tiện ích nén và lưu trữ tập tin được sử dụng rộng rãi, hỗ trợ nhiều định dạng khác nhau, tự hào có hơn 500 triệu người dùng trên toàn thế giới.
Các phiên bản RARLAB WinRAR trước v6.23 gần đây đã được Group-IB xác định là lỗ hổng zero-day, bị tội phạm mạng khai thác tích cực kể từ ít nhất tháng 4 năm 2023 trong các chiến dịch nhắm vào các nhà giao dịch tài chính.
Các nhà phân tích NVD đã chỉ định điểm CVSS là 7,8 CAO cho CVE-2023-38831, được MITRE Corporation chỉ định chính thức vào ngày 15 tháng 8 năm 2023.

Dòng thời gian khai thác WinRAR

Giải thích về lỗ hổng WinRAR

OPSWAT Các nghiên cứu sinh sau đại học đã tiến hành phân tích kỹ lưỡng về việc khai thác lỗ hổng CVE-2023-38831, ảnh hưởng đến các phiên bản WinRAR trước 6.23. Nội dung độc hại bao gồm nhiều loại tệp khác nhau và được chứa trong tệp ZIP.

Để khai thác CVE-2023-38831, kẻ tấn công sẽ tạo một tệp zip độc hại chứa các tệp có hại trong một thư mục có tên bắt chước tên của một tệp vô hại.

ảnh chụp màn hình cửa sổ ứng dụng WinRAR hiển thị nội dung của 'Strategy.zip' với các tệp 'strategy.pdf' và 'strategy.pdf.cmd', cho thấy rủi ro bảo mật tiềm ẩn

Cả tệp vô hại và thư mục đều có khoảng trắng là ký tự cuối cùng. Tệp độc hại sẽ được đặt trong thư mục có tên gần giống với tệp vô hại.

đoạn mã từ thiết bị đầu cuối hiển thị cấu trúc lưu trữ với tệp 'strategy.pdf' lành tính và thư mục có tải trọng 'strategy.pdf.cmd' độc hại, cho biết tệp bị khai thác

Khi người dùng cố gắng mở tệp lành tính “strategy.pdf ” khi sử dụng WinRAR, WinRAR sẽ tiến hành giải nén tất cả các tệp có cùng tên với tệp đích, lưu chúng vào một thư mục tạm thời trong đường dẫn %TEMP%.

ảnh chụp màn hình hiển thị nhật ký giám sát quy trình với các hoạt động tệp cho biết việc tạo, trích xuất và mở các tệp có khả năng liên kết với khai thác WinRAR

Nếu một thư mục có cùng tên với tệp đã chọn, việc giải nén tệp đó sẽ dẫn đến cả tệp đã chọn và các tệp trong thư mục đó được giải nén vào thư mục tạm thời.

Mã giả sau đây minh họa logic giải nén của WinRAR và xác định xem mục lưu trữ có nên được giải nén hay không.

đoạn mã python trong cửa sổ trình soạn thảo hiển thị một hàm được thiết kế để trích xuất và so sánh các mục trong tệp zip, có khả năng dùng để phân tích bảo mật

Trong quá trình ghi nội dung tệp, WinRAR điều chỉnh đường dẫn tệp bằng cách loại bỏ mọi khoảng trắng được thêm vào thông qua một quy trình được gọi là chuẩn hóa đường dẫn.

cửa sổ trình duyệt tệp hiển thị tệp 'strategy.pdf' và tệp 'strategy.pdf.cmd', gợi ý một bài kiểm tra bảo mật cho tệp thực thi được ngụy trang

Sau khi giải nén, WinRAR kích hoạt thực thi tệp thông qua ShellExecuteExW. Tuy nhiên, hàm này sử dụng đường dẫn không chuẩn hóa làm đầu vào. Ký tự khoảng trắng cuối cùng bị hiểu sai thành dấu hoa thị, dẫn đến thực thi “strategy.pdf Tệp ”.cmd thay vì tệp đã chọn ban đầu.

Cửa sổ ứng dụng WinRAR mở trên tệp 'strategy.pdf' với dấu nhắc lệnh cho biết đang thực thi, một phần của thử nghiệm lỗ hổng bảo mật

Mô phỏng và phát hiện với OPSWAT MetaDefender

Bằng chứng khái niệm (POC) cho CVE-2023-38831 đã có từ lâu và các tác nhân đe dọa đang tích cực khai thác nó trong các chiến dịch hiện tại. Để mô phỏng lỗ hổng CVE-2023-38831, các Nghiên cứu sinh sau đại học OSPWAT đã sử dụng MetaDefender Nền tảng cung cấp thông tin chi tiết thực tế về phát hiện mối đe dọa.

Cơ chế khai thác

Người dùng hàng ngày phải đối mặt với rủi ro đáng kể từ các mối đe dọa mạng, đặc biệt là khi các kênh chia sẻ thông tin tiếp tục mở rộng. Những kẻ xấu thường lợi dụng lỗ hổng này bằng cách ngụy trang các thành phần có hại trong các tệp có thể tải xuống, như ZIP, có chứa các liên kết độc hại được nhúng. Một chiến thuật phổ biến khác liên quan đến lừa đảo qua email, trong đó người dùng nhận được các tệp đính kèm có hại được gửi đến địa chỉ email của họ.

Dòng chảy khai thác

sơ đồ cho thấy luồng khai thác an ninh mạng liên quan đến tác nhân đe dọa, người dùng mục tiêu và việc sử dụng tệp ZIP độc hại khai thác lỗ hổng WinRAR

Khi người dùng nhấp đúp để mở tệp, nó sẽ kích hoạt mã độc, dẫn đến việc tạo ra một lớp vỏ ngược kết nối trở lại với tác nhân đe dọa. Khi kết nối được thiết lập thành công, kẻ tấn công sau đó có thể khai thác các lệnh thực thi để xâm phạm hoàn toàn thiết bị của nạn nhân.

Màn hình thiết bị đầu cuối Kali Linux hiển thị tương tác mạng, có thể mô phỏng một cuộc tấn công hoặc thử nghiệm các biện pháp phòng thủ bảo mật mạng

Quy trình mô phỏng lỗ hổng

cửa sổ trình duyệt tệp trình bày chi tiết về kỹ thuật khai thác trong đó WinRAR quét tệp có tên tương tự như tệp hợp lệ để thực thi phần mềm độc hại

Khắc phục lỗ hổng

Có một số chiến lược chính để khắc phục lỗ hổng này.

Nâng cấp WinRAR lên phiên bản 6.23 trở lên, phiên bản này sẽ khử trùng tên tệp ZIP trước khi giải nén để ngăn chặn các cuộc tấn công.
Cấu hình bộ lọc tên tệp ZIP thông qua Chính sách nhóm hoặc cài đặt sổ đăng ký như một giải pháp tạm thời trước khi nâng cấp.
Quét các tệp ZIP đã tải xuống từ nguồn không xác định bằng công cụ diệt vi-rút trước khi giải nén.
Tránh giải nén các tệp ZIP nhận được qua các phương tiện không mong muốn như email đáng ngờ.

OPSWAT Phạm vi phủ sóng

WinRAR CVE-2023-38831 có thể được xác định và phát hiện bằng các giải pháp sau:

OPSWAT MetaDefender Core

MetaDefender Core cung cấp giải pháp bảo mật tải tệp toàn diện để bảo vệ chống lại phần mềm độc hại và vi phạm dữ liệu. OPSWAT được thiết kế MetaDefender để bảo vệ thế giới cơ sở hạ tầng trọng yếu từ các mối đe dọa dựa trên tệp tinh vi nhất: phần mềm độc hại ẩn núp tiên tiến, các cuộc tấn công zero-day và APT (các mối đe dọa dai dẳng tiên tiến).

MetaDefender Core quét và phân tích trình cài đặt WinRAR bằng công cụ File-based Vulnerability Assessment để phát hiện các lỗ hổng đã biết trước khi thực thi trên các điểm cuối. Để chống lại các cuộc tấn công tệp giả mạo như CVE-2023-38831, việc xử lý các tệp ZIP thông qua File Type Verification được khuyến nghị mạnh mẽ. Công nghệ này xác minh các loại tệp dựa trên nội dung, không phải các phần mở rộng không đáng tin cậy. MetaDefender Core cũng tận dụng Multiscanning , quét các tệp ZIP bằng hơn 30 công cụ chống phần mềm độc hại bằng cách sử dụng chữ ký, phương pháp tìm kiếm và máy học để chủ động xác định hơn 99% phần mềm độc hại. Phương pháp tiếp cận nhiều lớp này giúp phát hiện nhanh chóng phần mềm độc hại liên quan đến CVE.

bảng điều khiển bảo mật của OPSWAT chỉ ra tệp WinRAR tự giải nén bị chặn, với đánh giá lỗ hổng chi tiết bao gồm ID CVE và xếp hạng mức độ nghiêm trọng

OPSWAT MetaDefender Endpoint

MetaDefender Endpoint phát hiện các ứng dụng rủi ro và cung cấp các tùy chọn khắc phục để giải quyết các vấn đề bảo mật tiềm ẩn. Đảm bảo an ninh mạnh mẽ cho tổ chức của bạn đòi hỏi phải dành nhiều thời gian để vá lỗi. Việc cảnh giác tìm kiếm các chỉ số tấn công và nhanh chóng xác định các dấu hiệu của nỗ lực khai thác hoặc xâm nhập là rất quan trọng. OPSWAT MetaDefender Endpoint là một công cụ hữu ích trong bộ công cụ của bạn, giúp vá và cập nhật các lỗ hổng bảo mật như WinRAR lên phiên bản mới nhất.

báo cáo lỗ hổng bảo mật cho WinRAR (x64) liệt kê hai lỗ hổng trung bình, CVE-2023-38831 và CVE-2023-40477, với điểm số và chi tiết phiên bản

Kết luận:

Lỗ hổng CVE-2023-38831 cần được chú ý ngay lập tức do WinRAR được sử dụng rộng rãi và dễ khai thác. Phát hiện sớm là rất quan trọng và OPSWAT MetaDefender cung cấp khả năng phát hiện và giảm thiểu mối đe dọa tiên tiến. Là chuyên gia an ninh mạng, việc cập nhật, triển khai các biện pháp bảo mật mạnh mẽ và thúc đẩy văn hóa nhận thức về an ninh mạng là tối quan trọng.

Để biết thêm các dự án mô phỏng CVE từ OPSWAT Chương trình học bổng sau đại học, hãy đăng ký và khám phá những bài viết mới nhất trên blog của chúng tôi.

Tìm Hiểu Với Chuyên Gia

Tags:

MetaDefender

Bài viết mới nhất

Vectơ tấn công bị bỏ qua nhiều nhất: Tệp của bạn
Tháng Tám, ngày 7, 2025
Độ phức tạp của phần mềm độc hại tăng vọt 127% trong sáu tháng: OPSWAT Báo cáo cho thấy các hệ thống cũ bỏ lỡ 1 trong 14 mối đe dọa
Tháng Tám, ngày 6, 2025
OPSWAT Bảo vệ các cơ sở hàng không vũ trụ và quốc phòng khỏi các mối đe dọa có thể tháo rời Media và các mối đe dọa của bên thứ ba
Tháng Tám, ngày 6, 2025
10 năm đổi mới: OPSWAT Vai trò của Romania trong việc bảo vệ thế giới cơ sở hạ tầng trọng yếu
Tháng Tám, ngày 5, 2025
Làm sao OPSWAT 'S Adaptive Sandbox vì Phân tích động đang cách mạng hóa Threat Intelligence
Tháng Tám, ngày 4, 2025

Đăng ký OPSWAT Tin

Nhận thông tin mới nhất OPSWAT cập nhật thông tin về công ty cùng với thông tin sự kiện và tin tức thúc đẩy ngành công nghiệp phát triển.

Đăng ký cho tôi

Theo dõi chúng tôi trên mạng xã hội Media

Theo OPSWAT trên LinkedIn, Facebook, Twitter và YouTube của bạn để biết thêm!

Luôn cập nhật với OPSWAT!

Đăng ký ngay hôm nay để nhận thông tin cập nhật mới nhất về công ty, câu chuyện, thông tin sự kiện và nhiều thông tin khác.

Đăng ký