根据安全事务,网络安全专家IgorSak-Sakovskiy发现WinRAR存在远程代码执行漏洞,漏洞编号CVE-2021-35052。该漏洞出现在WinRAR的Windows试用版中,漏洞版本为5.70,黑客可以利用该漏洞对计算机系统进行远程攻击。IgorSak-Sakovskiy表示,“这个漏洞允许攻击者拦截和修改系统发送给用户的请求,从而可以在用户的??计算机上实现远程代码执行(RCE)。我们也在WinRAR版本中偶然发现了这个漏洞5.70.》安装WinRAR后,安全专家发现其中存在JavaScript错误。具体形式是在浏览器中弹出如下图所示的错误窗口。经过一系列测试,安全专家发现,软件试用期过后,软件就会开始显示错误信息,基本上是每执行三次。这个弹出的“错误显示”窗口是通过系统文件mshtml.dll的报错实现的。与WinRAR一样,它是用Borland的C++语言编写的。安全专家使用BurpSuite作为默认的Windows代理来拦截显示消息时产生的流量。软件试用期结束后,WinRAR会通过“notifier.rarlab[.]com”提醒用户。安全专家分析发送给用户的响应码后发现,攻击者会将提示信息更改为“301MovedPermanently”重定向消息,从而使后续所有请求缓存都可以重定向到恶意域。安全专家还注意到,当攻击者获得对同一网络域的访问权限以远程启动应用程序、检索本地主机信息和执行任意代码时,就可以发起ARP欺骗攻击。然后,我们没有拦截和更改默认域,而是尝试拦截和修改WinRAR发送给用户的反馈消息,以便“notifier.rarlab.com”每次都响应我们的恶意内容。我们进一步发现,如果将响应代码更改为“301MovedPermanently”并将缓存重定向到我们的“attacker.com”恶意域,那么所有请求都会转到“attacker.com”。最后,安全专家指出,第三方软件中的漏洞会给企业和组织带来严重风险。这些漏洞的存在可以让攻击者访问系统的任何资源,甚至访问托管网络中的所有资源。“在安装一个应用程序之前,我们不可能确保每个程序都没有问题,所以用户的策略对于外部应用程序的风险管理至关重要,而如何平衡应用程序的业务需求和安全风险也取决于用户的选择.如果使用和管理不当,很可能会造成非常严重的后果。参考来源:https://securityaffairs.co/wordpress/123652/hacking/winrar-trial-flaw.html
