WinRAR 漏洞让攻击者利用 ANSI 转义序列欺骗用户

阅读量90230

发布时间 : 2024-05-24 11:52:14

Windows 上流行的文件压缩和归档实用程序 WinRAR 中发现了一个严重漏洞。

该漏洞编号为 CVE-2024-36052,影响 WinRAR 7.00 之前的版本,允许攻击者使用 ANSI 转义序列欺骗屏幕输出。

问题源于 WinRAR 缺乏对 ZIP 档案中文件名的正确验证和清理。Siddharth Dushantha 发现了这个漏洞。

当使用 WinRAR 提取包含名称中带有ANSI 转义序列的文件的特制 ZIP 档案时,该应用程序无法正确处理转义序列。

相反,它将它们解释为控制字符,允许攻击者操纵显示的文件名并可能诱骗用户运行恶意文件。

ANSI 转义序列是用于控制命令行界面和终端中文本格式和外观的特殊代码。大多数序列以 ASCII 转义字符 (ESC、\x1B) 开头,后跟括号字符 ([),并嵌入到文本中。

通过制作包含这些序列的恶意档案,攻击者可以操纵显示的输出并欺骗用户相信他们正在打开无害的文件,例如 PDF 或图像。

当用户尝试在WinRAR中打开看似无害的文件时,由于对文件扩展名处理不当,漏洞就会被触发。

Dushantha表示,WinRAR 的 ShellExecute 函数没有启动预期的文件,而是收到了错误的参数并执行了隐藏的恶意脚本,例如批处理文件 (.bat) 或命令脚本 (.cmd) 。

然后,该脚本可以在受害者的设备上安装恶意软件,同时显示诱饵文档以避免引起怀疑。

值得注意的是,此漏洞特定于 Windows 上的 WinRAR,与影响 Linux 和 UNIX 平台上的 WinRAR 的 CVE-2024-33899 不同。

WinRAR 的 Linux 和 UNIX 版本也容易受到通过 ANSI 转义序列的屏幕输出欺骗和拒绝服务攻击。

为了减轻此漏洞带来的风险,建议用户更新到 WinRAR 7.00 或更高版本,其中包含针对该问题的修复。

此外,打开来自不受信任来源的档案时要小心谨慎,并在 Windows 中启用文件扩展名可见性,可以帮助防止此类攻击。

该漏洞于 2024 年 5 月 23 日公开披露,WinRAR 用户必须立即采取行动,保护他们的系统免受恶意行为者的潜在利用。

本文转载自:

如若转载,请注明出处: https://cybersecuritynews.com/winrar-flaw-deceive-users/

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66