360安全卫士有UNACEV2.dll,而这个WinRAR爆出漏洞了
<360压缩升级后删除了>,但安全卫士还有。请问怎么处理?
WinRAR 是window系统下最常用的压缩包管理器,基于Windows图形界面,可进行备份数据、文件压缩和解压,支持RAR/ZIP等格式的文件,在windows用户中使用广泛,是装机必备软件之一。WinRAR是一个款商用收费软件,大多数用户使用的汉化或者破解版本,存在很大的安全隐患,不建议用户使用。
该次系列漏洞源于WinRAR依赖的旧动态链接库UNACEV2.dll,该库自从2006年已经有13年未曾更新过。该库主要用来处理ACE格式的压缩文件,在解压ACE文件时,处理代码中,代码逻辑判断出现问题,可以导致任意目录访问的穿越漏洞,可以利用漏洞进行文件写入,甚至增加开机项等高特权操作。涉及漏洞的逻辑代码演示版本如下:
该功能主要做以下检查:
第一个字符为"\"或"/";文件名不以以下字符串".\"或"./"开头,的"路径遍历"父目录;屏蔽以一下开头的 "路径遍历"字串: "\.\"、"\./"、"/./"、"/.\"。
unacv2.dll中的提取函数调用WinRAR中的StateCallbackProc,并将ACE格式的文件名字段作为参数传递给它。WinRAR回调的验证器检查相对路径,验证器将ACE_CALLBACK_RETURN_CANCEL返回到dll,(因为文件名字段以反斜杠"\"开头)并且文件创建被中止。将以下字符串传递给WinRAR回调的验证器:"\sourbe\RED VERSION_"该名字会的下划线会被unacv2.dll替换为*。
由于dll中存在错误("unacev2.dll"),回调中返回ACE_CALLBACK_RETURN_CANCEL,会由dll创建相对路径(ACE归档中的文件名字段)中指定的文件夹。由于unacev2.dll在创建文件夹之前调用验证器,在创建文件夹之后它会过早地检查回调的返回值。因此,在调用WriteFile API之前,它会在将内容写入提取的文件之前中止提取操作。它实际上创建了提取的文件,但是没有向其写入内容。它调用CreateFile API,然后检查回调函数的返回码。如果返回代码是ACE_CALLBACK_RETURN_CANCEL,它实际上会删除先前通过调用CreateFile API创建的文件。
由于该漏洞允许我们只创建空文件。可以通过在文件的末尾添加":"来绕过文件删除,该文件会被视为备用数据流。作为回调返回ACE_CALLBACK_RETURN_CANCEL,则dll会尝试删除文件的备用数据流而不是文件本身。如果相对路径字符串以"\"(斜杠)开头,则dll代码中还有另一个过滤函数会中止提取操作。但是,通过将"*"或"?"字符(通配符)添加到压缩文件的相对路径(文件名字段),将跳过此检查,并且代码可以继续执行并触发文件遍历漏洞。由于WinRAR代码中的回调验证器,它不会触发WinRAR中的错误。总结:
从WinRAR回调(ACE_CALLBACK_RETURN_CANCEL)获取中止代码后,unacev2.dll并没有中止操作。由于延迟检查WinRAR回调的返回代码,因此会创建漏洞利用文件中指定的目录。
提取的文件会在在exploit文件中指定的完整路径上创建的(空文件)。
从回调中检查返回的代码(在调用WriteFile API之前)之后立即删除它。可以绕过删除文件的方法,但只能创建空文件。 |
|
|
|
评论
直达楼层