Lỗ hổng bảo mật trên WinRAR

01/04/2019 14:33 Số lượt xem: 213

Lỗ hổng bảo mật mới được hé lộ cho thấy hơn 500 triệu người dùng WinRAR trên toàn thế giới có thể đối mặt nguy cơ bị hacker tấn công và cài mã độc vào hệ thống.

Thời gian gần đây, Trung tâm Giám sát an toàn thông tin mạng quốc gia (NCSC) thuộc Cục An toàn thông tin (Cục ATTT) ghi nhận nhiều chiến dịch phát tán mã độc, tấn công mạng qua lỗ hổng trên phần mềm WinRAR (CVE 2018-2025). Lỗ hổng này cho phép đối tượng tấn công cài cắm mã độc vào máy người dùng và ảnh hưởng đến tất cả các phiên bản của WinRAR phát hành trong thời gian qua. Hình thức phổ biến để phát tán mã độc được đối tượng tấn công thực hiện như sau:

Lựa chọn những tập tin tài liệu có độ tin cậy cao, thường sử dụng tài liệu của chương trình, hội nghị được nhiều người quan tâm.

Sử dụng phần mềm WinRAR để nén tập tin tài liệu này và tập tin mã độc. Phát tán tập tin nén bằng phần mềm WinRAR qua nhiều kênh khác nhau: thư điện tử, hoặc các tập tin tài liệu trên mạng (tài liệu hội nghị, hội thảo…). Người dùng mở tập tin nén này sẽ chỉ nhìn thấy tập tin tài liệu thông thường.

Khi người dùng giải nén bằng phần mềm WinRAR có chứa lỗ hổng thì mã độc cũng được giải nén vào thư mục StartUp của Windows để thực thi trong lần khởi động tiếp theo của máy tính.

Phần mềm nén, giải nén WinRAR

WinRAR mới đây cho biết đã vá một lỗ hổng bảo mật cho phép kẻ tấn công trích xuất phần mềm độc hại vào bất cứ nơi nào trên ổ cứng của người dùng. Điều đáng nói là lỗ hổng này đã tồn tại trên phần mềm WinRAR được tổng cộng 19 năm.

Lỗ hổng được phát hiện bởi các nhà nghiên cứu tại công ty nghiên cứu Check Point Software Technologies, khi họ nhận ra rằng WinRAR vẫn còn hỗ trợ cho định dạng lưu trữ ACE, vốn không còn tồn tại nữa. Sau đó, họ phát hiện ra rằng WinRAR vẫn dựa vào tệp DLL không an toàn và có niên đại từ năm 2006.

Trong một bài viết được đăng tải trên trang blog, các nhà nghiên cứu giải thích về cách thức hoạt động của lỗ hổng bảo mật. Cụ thể, họ đã đổi tên tệp ACE để cung cấp cho nó một phần mở rộng RAR.

Lúc này, bất kỳ người dùng nào cũng có thể dùng WinRAR để trích xuất chương trình độc hại vào thư mục khởi động máy tính. Chương trình sau đó sẽ tự động chạy vào lần tiếp theo khi máy tính khởi động.

Sau khi các nhà nghiên cứu thông báo cho WinRAR về những phát hiện của họ, công ty đã vá lỗ hổng với phiên bản 5.70 beta 1 của phần mềm. Thay vì cố gắng khắc phục sự cố, WinRAR đã loại bỏ hoàn toàn hỗ trợ cho kho lưu trữ của ACE, khiến lỗ hổng này không còn khai thác được nữa.

Hiện vẫn chưa rõ liệu có bất kỳ cuộc tấn công nào đã lợi dụng lỗ hổng bảo mật này trong suốt gần 2 thập kỷ trước. Tuy nhiên theo các nhà nghiên cứu, với tập người dùng của WinRAR lên tới 500 triệu trên toàn thế giới, rất khó để nói trước điều gì.

WinRAR là một trong những phần mềm nén tập tin phổ biến ở Việt Nam nhưng chưa có cơ chế cập nhật tự động, đồng thời nhiều cơ quan tổ chức chưa chú trọng đến công tác rà soát, xử lý các điểm yếu lỗ hổng an toàn thông tin. Vì vậy nhằm đảm bảo an toàn thông tin, phòng tránh các nguy cơ lây nhiễm mã độc thông qua lỗ hổng này. Cục An toàn thông tin đề nghị các cơ quan, tổ chức, doanh nghiệp thực hiện:

Rà soát và kiểm tra phiên bản phần mềm WinRAR đang được sử dụng trên toàn bộ máy tính, máy chủ.

Máy tính nào đang sử dụng các phiên bản cũ cần loại bỏ phần mềm khỏi máy tính; cập nhật lên phiên bản WinRAR mới nhất (WinRAR 5.7.0). Chú ý chỉ tải phần mềm từ trang chủ WinRAR hoặc tổ chức tin cậy. Đường dẫn https://www.win-rar.com/download.html hoặc https://www.rarlab.com.

Phạm Ngọc Tuyên