登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202112/1519557_30003_0.htm

WinRAR远程命令执行漏洞通告(CVE-2021-35052)

【发布时间:2021-12-30】

威胁预警团队

2021/10/22


1. 漏洞综述

1.1 漏洞背景

WinRAR 是一款功能强大的压缩包管理器,该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 Internet 上下载的RAR、ZIP及其它类型文件,并且可以新建 RAR 及 ZIP 格式等的压缩类文件。WinRAR 软件在下载后可以免费试用,在试用期间用户可以免费使用全部功能,试用期过后用户还可以继续使用,不过某些特性会被禁用。在WinRAR 5.70版本中,用户在软件试用期过后继续使用时可能存在远程代码执行漏洞(CVE-2021-35052),建议受影响用户及时排查并修复。

1.2 漏洞原理

该漏洞是由于WinRAR 软件在试用期过后用户继续使用该软件时,WinRAR 会为用户提供免费试用许可证,同时提醒用户购买许可证,大概三次可能会产生一个JavaScript错误弹窗:

通过对弹窗分析发现,Internet Explorer 引擎正在呈现此错误窗口,由Borland C++ 的 mshtml.dll 实现:

通过拦截并重新修改WinRAR 到用户的“notifier.rarlab.com”响应,将响应代码更改为“301 Moved Permanently”并重定向,从而导致后续所有请求都被定向到恶意攻击者控制的域中。而且,攻击成功的恶意攻击者还可以执行ARP欺骗、运行应用程序、检索本地主机信息甚至执行任意代码。

2. 影响范围

WinRAR Windows 5.70试用版

3. 严重等级

高危

4. 处置方法

4.1官方补丁

1、目前官方已发布最新版本,请使用受影响版本的用户及时下载并安装,下载链接:http://www.winrar.com.cn/。

5. 参考链接

https://swarm.ptsecurity.com/winrars-vulnerable-trialware-when-free-software-isnt-free/

https://www.theregister.com/2021/10/21/winrar_rce_vuln_positive_technologies/

新华三官网
联系我们