นักวิจัยด้านความปลอดภัยจาก CheckPoint ได้พบช่องโหว่ที่ใน WinRAR ทุกรุ่นที่ถูกจำหน่ายในช่วงที่ 19 ปีที่ผ่านมา โดยตั้งแต่ปี 2005 เป็นต้นมา แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ทำการโจมตีแบบ remote code execution ได้
ช่องโหว่นี้อยู่ในไลบรารี UNACEV2.DLL ใช้ในการแตกไฟล์ให้อยู่ในรูปของ ACE เมื่อผู้ใช้ทำการแตกไฟล์ที่บีบอัดไว้ UNACEV2.DLL จะสร้างไฟล์ที่ดป็นอันตราย โดยจะถูกนำไปเก็บไว้ตาม path ที่แฮกเกอร์กำหนดไว้ได้ตามต้องการ ซึ่งหมายเลขของช่องโหว่นี้คือCVE-2018-20250, CVE-2018-20251, CVE-2018-20252, และ CVE-2018-20253
ที่น่าตกใจยิ่งกว่านี้ ก็คือเมื่อประมาณปีที่แล้วทางบริษัท WinRAR ได้ออกมาเปิดเผยเกี่ยวกับช่องโหว่นี้ ทำให้มีผู้สนใจอยากจะซื้อช่องโหว่นี้เป็นเงินถึง 100,000 เหรียญ หรือประมาณ 3,111,700.00 บาท เพื่อนำไปใช้ในการโจมตีแบบ remote code execution flaw ใน WinRAR, 7-Zip, WinZip (บน Windows) หรือ tar (บน Linux)
นักวิจัยได้ทดลองสร้างมัลแวร์ในโฟลเดอร์ Windows startup (C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp) และในไดเรกทอรี C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) มัลแวร์ตัวนี้จะทำงานหลังจากรีบูตเครื่องคอมพิวเตอร์ โดยจะทำให้เครื่องคอมพิวเตอร์ติดเชื้อ และเข้ายึดเครื่องคอมพิวเตอร์ซึ่งสามารถดูวิดีโอการทดลองได้จากด้านล่างนี้
ที่มาวิดีโอ: ZDNet
สำหรับวิธีการแก้ปัญหานั้นไม่ง่ายเลย เนื่องจากช่องโหว่นี้มีมานานแล้ว ตั้งแต่ปี 2005 อีกทั้งบริษัทที่พัฒนาโปรแกรมนี้ก็ปิดกิจการไปแล้ว นักวิจัยจึงตัดสินใจตัดความสามารถของโปรแกรม ACE นี้ออกไป ส่งผลให้ช่องโหว่ .dll ยังไม่ได้รับการแก้ไขมาจนถึงทุกวันนี้
สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่นี้สามารถดูได้ที่ cp<r> :Extracting a 19 Year Old Code Execution from WinRAR
ดังนั้น WinRAR ตั้งแต่ version 5.70 beta 1 เป็นต้นไปทุกรุ่น นั้นได้รับการแก้ไขช่องโหว่แล้ว เพราะทาง WinRAR ได้ตัดโปรแกรม ACE ออกไปแล้ว ซึ่งสามารถโหลดและซื้อ WinRAR ได้ที่ WinRAR 5.61
ในตอนนี้ทาง WinRAR ได้ออกมาระบุว่ามีผู้ใช้งาน WinRAR มากกว่า 500 ล้านคน ซึ่งเป็นทั้งผู้ใช้งานตามบ้าน และพนักงานในบริษัทต่างๆ ดังนั้น ช่องโหว่นี้จึงมีผลกระทบกับผู้ใช้งานจำนวนมากอย่างแน่นอน
ที่มา: ZDNet
