パスワードを忘れた? アカウント作成
13865667 story
セキュリティ

WinRARの脆弱性を狙ったマルウェアが急増 43

ストーリー by hylom
アップデートしましょう 部門より

老舗のファイル圧縮・展開ソフト「WinRAR」の脆弱性を悪用するマルウェアが多数登場しているという(SLASH GEARZDNetEngadgetSlashdot)。

この脆弱性は2月に明らかになったもので、細工を行なった圧縮ファイルをWinRARに処理させることで、任意の場所にファイルを設置できるというもの(Security NEXTCVE-2018-20250)。すでに修正版がリリースされているが、バージョン5.61以前のすべてのWinRARにこの脆弱性が含まれている。

この脆弱性が公表されて以来、すぐにこれを悪用するマルウェアが登場したとのことで、100種類以上の攻撃例が確認されているという。具体的な攻撃例としては、人気歌手アリアナ・グランデの最新アルバムを違法にコピーし圧縮したRARファイル中にマルウェアを仕込み、WinRARでこのファイルを展開させるとマルウェアがシステムにインストールされるといったものがあるそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • たぶんスラドに集う方々ならご存知でしょうが
    画像ビューワーとかファイラーとかで今でもスージープラグインを利用している
    フリーソフトってまだ結構ありますよね。

    そのスージープラグインの中に winrar 対応のものがあります。
    「axrar.sip (RAR extract plug-in)」は最終更新が2004年。
    https://www.vector.co.jp/soft/win95/art/se261123.html [vector.co.jp]
    > アーカイブ操作・展開処理を自前で行っている
    とのことなので今回の件とは無関係かもですが、
    古い winrar をリバースコンパイルしたりして参考にしてたとしたら
    同じロジックを使ってたりする可能性もありますね・・。

    しかし今見たらスージー本体の更新が終わったのが2002年。17年前ですか・・。
    私も歳を取るわけですね・・・。
    http://www.digitalpad.co.jp/~takechin/ [digitalpad.co.jp]

    • by Anonymous Coward on 2019年03月20日 21時17分 (#3584449)

      RARファイル形式とは関係ない、ACE形式の解凍モジュール(UNACEV2.dll)にある脆弱性です。
      ACE形式はRARのようにな独自形式で、ACE形式開発ベンダから提供されていた解凍モジュールに脆弱性があります。
      その為、独自実装ではない、ACE形式に対応したアーカイバはリスクがあると思った方が良いです。

      親コメント
      • おおお、勘違いしてました。
        コメントありがとうございます~!!

        ACE形式に対応したスージープラグインは手持ちにはなく
        検索しても出てこなかったので大丈夫そうですね。

        ちなみに検索しているときに下記のページを見つけたのですが、
        懐かしい名前がちらほら・・・。
        http://www.geocities.co.jp/Playtown-Denei/9784/kaitou.htm [geocities.co.jp]
        ZELDA, RarUty, 解凍レンジ・・・思わぬ おっさんホイホイでした笑

        親コメント
        • by Anonymous Coward

          あと10日以内に移転…しそうにないなあ

        • by Anonymous Coward

          おっさんホイホイにつられて・・・

          支天輪や詩子様、Melt itあたりを常用してたな(謎
          当時のバックアップCD-Rがまだ読めるなら発掘出来そうだ。

      • by Anonymous Coward

        とりあえずUNACEV2.dll削除すれば大丈夫ですかね。
        自分のPCを検索したら、arc convertというソフトが使ってた。

  • by Anonymous Coward on 2019年03月20日 14時51分 (#3584223)

    優秀なサイバーチームで全員検挙しろ

    • by Anonymous Coward on 2019年03月20日 15時12分 (#3584232)

      で、WinRARをインストールした人を逮捕するんですね。

      親コメント
      • by Anonymous Coward

        してくれたほうが色々捗る気がしないでもない。

    • by Anonymous Coward

      ピーピーうるさい閉じられないサイトを開いてしまったんですけど
      通報窓口ってあるのかな

      • by Anonymous Coward

        近所に頻繁にピーポーピーポーうるさい音を出す車が出入りするビルがあるんですけど(以下略

      • by Anonymous Coward

        ほんとああいうヤツこそ取り締まってほしいよなー

  • by Anonymous Coward on 2019年03月20日 16時02分 (#3584270)

    問題なのは rar 形式ではなく ace 形式で、同様の問題について Explzh でも対応をしています
    ace 形式の展開はバイナリしかなく、直しようがないので対応をやめるという対処をしています
    で問題なのは日本でメジャーな Lhaplus がまだ対応していないんじゃないかという疑惑
    (疑惑というか、ace 形式対応してるなら間違いなく問題孕んでるはず)

    一般ユーザ向けには、この先 ace 形式は問答無用で削除、ぐらいの対応でも良いかもしれません

    • その昔存在していたWinAceって、何だったかな...。
      https://en.wikipedia.org/wiki/WinAce [wikipedia.org]

      親コメント
    • by Anonymous Coward on 2019年03月20日 16時39分 (#3584289)

      窓の杜でずばりその旨書いてありますね。
      https://forest.watch.impress.co.jp/library/software/lhaplus/ [impress.co.jp]

      親コメント
    • by Anonymous Coward on 2019年03月20日 18時39分 (#3584354)

      (疑惑というか、ace 形式対応してるなら間違いなく問題孕んでるはず)

      総合アーカイバではラッパー側で対処しているので問題ないとのことです
      一律に ace 対応しているから脆弱性! というわけではないので、表現が誇張されていたこと謝罪します。

      総合アーカイバプロジェクト [madobe.net]

      なお、ITmedia の記事 で言及されている UNACEV2.DLL の脆弱性(ディレクトリトラバーサル問題)につきましては、『UnAceV2J.DLL』側で対処してますので、問題ないはずです。
      ただ、ACE書庫の開発元である ACE Compression Software につきましては、 現在のところホームページが消失しており、消息が掴めません。(2019年2月24日補記)

      親コメント
      • by Anonymous Coward

        最終更新日が2016/3/29なのに対応済みということは、単に古くから知られていた脆弱性に対してWinRARが対応をサボっていただけか

    • by Anonymous Coward
      ace形式とか言うのがそもそも一般的であるかどうかすら判らない。
      少なくともそう言う拡張子に遭遇した事がここ20年は無いから。
      • by miyabi9821 (29975) on 2019年03月20日 17時42分 (#3584326)

        2001年か2002年くらいに少し見た程度ですね…。
        同じくマイナーアーカイブのGCAの方がまだ見た気がします。

        親コメント
        • by Anonymous Coward

          アイコンが好きで愛用してたわ

      • by Anonymous Coward

        一般に流通していないからこそ、もう一律排除でも良いんじゃないかと思いました
        今流通している ace ファイルのほとんどはこの脆弱性狙いなんだろうな、と

        関連付けされていると
        「(デフォルトだと)拡張子はでない」
        「圧縮されているアイコンになる」
        「ダブルクリックで動き出す」
        と一般ユーザだと普通に踏み抜くであろう状況ですし

        • by Anonymous Coward

          リンク先に書いてありますが、拡張子出してても拡張子を「.rar」とかに変えとけばWinRARはバイナリ見てace形式と看破して解凍しちゃいます

    • by Anonymous Coward

      「WinRARの脆弱性」と報じたメディアが多かったので、「WinRARは使ってないから大丈夫」と
      判断している人がいるような気がします。

      • by Anonymous Coward

        海外ニュースをそのまま持ってきているだけ、というのが問題ですかね
        国内の状況に照らし合わせれば、WinRAR なんかより余程別のソフトの方が問題なのがわかるはずなのですが

        # 会社で周りの人の Lhaplus 率にびっくりします(共有端末なんかも必ず入っている……)
        # 私は新しい物好きなので、WinRAR(ライセンス購入済み)か 7z 入れるようにしていますが

        • そう、見回してみると驚くほどLhaplus!
          営業がお客さんに薦めてる例もあったっぽい

          親コメント
          • by Anonymous Coward

            うちの会社もLhaplusなんだよなあ。

            プライベートでは
            普段使いがLhaz(ただ単にフォルダ圧縮するだけ、解凍するだけの時)
            ちょっと細かい事やろうとすると小回りがきかないのでそういうのはExplzhとか。
            後はWinRarと7zかな。
            洋ゲーのModとか色々漁ってると結構変なのあるんだよなぁ。
            Lhazだと上手く解凍できなかったりとか(rarと7zで多い)
            Explzhは圧縮する時のまとめて別フォルダとかが便利なので使ってる。

          • by Anonymous Coward

            そして脆弱性のこと言うと敵とみなされ14H250日全方位からフルボッコ人格攻撃受けるんですね分かります。
            #○察がアレだから正解なのかも

            • by Anonymous Coward

              14H勤務とはいえ完全週休2日というのが妙なリアリティがありますね

              • by Anonymous Coward

                そりゃあリアル体験ですからw
                #自分「は」壊れなかったけどヤバかった

        • by Anonymous Coward

          とっくにLhaforgeに乗り換えたけど
          Lhaplusに馴染みすぎて氷付けアイコンじゃないと違和感を感じるようになってしまった
          そのアイコンの入ったdllだけぶっこぬいて使ってる

        • by Anonymous Coward

          Lhaplus よりも、はるかに歴史の長い WinRAR を新しい物好きとは如何に?

    • by Anonymous Coward

      Lhaplusなんて殆どメンテされてないようなソフトを使ってるのが悪いだろ。

      • by Anonymous Coward

        更新されていてもつい最近まで脆弱性を放置していたWinRARというソフトもありますし

    • by Anonymous Coward

      今でもLhaplusな人多いのか…
      完全になつかしのソフト枠だったわ

    • by Anonymous Coward

      Lhaplus 更新履歴、各種情報
      http://www7a.biglobe.ne.jp/~schezo/history.html [biglobe.ne.jp]

      にある以下の修正とは別件かしら?
      >Lhaplus Version 1.72 [ 2015/04/08 ]
      >特定のアーカイブ処理時に、意図的しない場所に解凍される脆弱性を修正しました。
      >(脆弱性発見者の Masato Kinugawa 様に、深く感謝申し上げます)

  • by Anonymous Coward on 2019年03月20日 16時48分 (#3584296)

    今回始めて自動的に強制アップデートされて戸惑った・・・
    アイコンがガラッと変わってて分かりづらいったらありゃしないな

    アイコンだけでももとに戻したい

    • by Anonymous Coward

      オプション -> テーマ -> テーマの取得

    • by Anonymous Coward

      WinRarに自動アップデート機能なんてあったんだ。
      うちのは更新かからなかったけど、なんでだろう。
      仕方ないので手動で入れ替えた。

    • by Anonymous Coward

      20年以上使っているけど、今回始めた

    • by Anonymous Coward

      アイコンが変わっただけなので戸惑いはしなかったけど「ダサいアイコンだなあ」とは思った

  • by Anonymous Coward on 2019年03月20日 17時41分 (#3584325)

    win7あたりからadminでも消せないファイルとかバリバリ増えたけど、
    ツール越しにシステムファイルを置けるほどパーミッションってまだゆるゆるなんだ?

    • by Anonymous Coward

      置き先はユーザーのスタートアップフォルダー
      要するに、十数年前に騒ぎになった「指定外の場所にファイルが展開される脆弱性」が今さらWinRARで見つかったってこと。
      思えば当時はまだ牧歌的だった(こんな急にマルウェアが激増とかしなかったし攻撃方法を書いても逮捕とかされなかった)

    • by Anonymous Coward

      多段で攻撃するので、着弾時は、ユーザ権限の範囲で侵入できれば十分なのです。

typodupeerror

人生unstable -- あるハッカー

読み込み中...