欢迎user
威胁预警团队
2021/10/22
WinRAR 是一款功能强大的压缩包管理器,该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 Internet 上下载的RAR、ZIP及其它类型文件,并且可以新建 RAR 及 ZIP 格式等的压缩类文件。WinRAR 软件在下载后可以免费试用,在试用期间用户可以免费使用全部功能,试用期过后用户还可以继续使用,不过某些特性会被禁用。在WinRAR 5.70版本中,用户在软件试用期过后继续使用时可能存在远程代码执行漏洞(CVE-2021-35052),建议受影响用户及时排查并修复。
该漏洞是由于WinRAR 软件在试用期过后用户继续使用该软件时,WinRAR 会为用户提供免费试用许可证,同时提醒用户购买许可证,大概三次可能会产生一个JavaScript错误弹窗:
通过对弹窗分析发现,Internet Explorer 引擎正在呈现此错误窗口,由Borland C++ 的 mshtml.dll 实现:
通过拦截并重新修改WinRAR 到用户的“notifier.rarlab.com”响应,将响应代码更改为“301 Moved Permanently”并重定向,从而导致后续所有请求都被定向到恶意攻击者控制的域中。而且,攻击成功的恶意攻击者还可以执行ARP欺骗、运行应用程序、检索本地主机信息甚至执行任意代码。
WinRAR Windows 5.70试用版
高危
1、目前官方已发布最新版本,请使用受影响版本的用户及时下载并安装,下载链接:http://www.winrar.com.cn/。
https://swarm.ptsecurity.com/winrars-vulnerable-trialware-when-free-software-isnt-free/
https://www.theregister.com/2021/10/21/winrar_rce_vuln_positive_technologies/