WinRAR là một trong những tiện ích phổ biến nhất được sử dụng để nén và giải nén file với hơn 500 triệu lượt cài đặt trên toàn thế giới. Một chuyên gia nghiên cứu bảo mật đã phát hiện phiên bản WinRAR 5.21 mới nhất dành cho Windows dính lỗ hổng bảo mật được đánh giá mức độ nghiêm trọng cực kì cao với 9 điểm trong thang CVSS (Common Vulnerability Scoring System). Lỗi bảo mật này cho phép hacker thực thi mã từ xa (RCE), ảnh hưởng đến 500 triệu người dùng trên toàn thế giới.
Cách thức xâm nhập và khai thác lỗ hổng WinRAR 5.21 mới:
Lỗ hổng bảo mật trên WinRAR 5.21 có thể được tin tặc sử dụng chèn trực tiếp mã HTML độc hại vào trong phần “Text to display in SFX window” khi người dùng tạo ra một SFX file mới. Theo video bản chứng minh PoC công bố bởi Espargham – nhà nghiên cứu đã phát hiện ra lỗi này – lỗ hổng cho phép tin tặc từ xa thực thi mã tùy ý trên máy tính của nạn nhân khi mở một SFX file. Việc khai thác lỗ hổng không yêu cầu độ tương tác người dùng thấp, dẫn đến xâm nhập toàn bộ hệ thống, mạng và các thiết bị khác.
Hiện tại chưa có bản vá lỗ hổng WinRar. Dù bạn có gỡ bỏ WinRar hay sử dụng các phần mềm nén/giải nén file khác như WinZip, 7Z,… vẫn không thể tránh được lỗ hổng này vì tập tin SFX có đuôi .exe thực thi bởi Windows.
Cách xử lý lỗi bảo mật trên phần mềm giải nén WinRAR 5.21:
Khi tải về một tập tin *.exe, hãy thực hiện một trong các cách sau để đảm bảo an toàn:
Cách 1: Nhấn phải chuột vào tập tin *.exe đó, nếu có menu để giải nén thì đó là SFX, vì SFX cũng có các menu như định dạng *.rar, *.zip (chú ý là cài WinRAR mới thấy mấy menu như trong video).
Cách 2: Sử dụng công cụ PeID để nhận diện.
Cách 3: Nhấn phải chuột vào EXE > Chọn Properties. Nếu trong cửa sổ Properties có thêm thẻ Archive (Lưu trữ) thì đây là một tập tin SFX.
Khi phát hiện ra tập tin SFX, tuyệt đối KHÔNG MỞ tập tin này. Hãy nhấn phải chuột > Chọn Extract Here (Giải nén tại đây). Đây là cách mở an toàn, đảm bảo đoạn mã độc nhúng trong tập tin tải về không được thực thi.
Chúc bạn thực hiện thành công!
Xuân Dung
Vui lòng trích dẫn nguồn Kaspersky Proguide khi sao chép bài viết