העדכון שאתם לא יכולים להרשות לעצמכם לדלג עליו: סוף התמיכה ב-Office 2016 ו-Office 2019

קרא עכשיו
אנו משתמשים בבינה מלאכותית לתרגום האתר, ועל אף שאנו שואפים לדיוק מרבי, ייתכן שהתרגומים אינם מדויקים במאת האחוזים. אנו מודים לך על ההבנה.
דף הבית / בלוג / פענוח פגיעות WinRAR CVE-2023-38831…
אבטחת קבצים

פענוח הפגיעות CVE-2023-38831 ב-WinRAR באמצעות OPSWAT

עַל יְדֵי OPSWAT
שתף את הפוסט הזה

מוקדם יותר בספטמבר 2023, OPSWAT השיקה את תוכנית המלגות לתואר שני, המציעה לסטודנטים לתארים מתקדמים הזדמנות ייחודית ללמוד ולטפל בפגיעויות אבטחת סייבר בעולם האמיתי המשפיעות על מערכות תשתית קריטיות.

כדי להדגיש את תוצאות תוכנית המלגות לבוגרים OPSWAT , אנו שמחים להציג סדרה של בלוגים על ניתוח טכני המתמקדים במגוון פגיעויות וחשיפות נפוצות (CVE), שזוהו וטופלו באמצעות טכנולוגיות זיהוי איומים מתקדמות שלנו.

צוות SWAT 1 של מלגת בוגרים, בהשתתפות היי פאם מאוניברסיטת המדע וקאנג דואן מאוניברסיטת קאן טו FPT
צוות מלגות בוגרים 1 - SWAT 1

בבלוג זה, נסביר את RARLAB WinRAR CVE-2023-38831 וכיצד ארגונים יכולים להתגונן מפני מתקפות ניצול CVE-2023-38831.

רקע על CVE-2023-38831

  • WinRAR, כלי עזר נרחב לדחיסת וארכוב קבצים התומך בפורמטים שונים, מתגאה בבסיס משתמשים של למעלה מ-500 מיליון ברחבי העולם.
  • גרסאות RARLAB WinRAR קודמות לגרסה 6.23 זוהו לאחרונה כפגיעות של יום אפס על ידי Group-IB , ונוצלה באופן פעיל על ידי פושעי סייבר לפחות מאז אפריל 2023 בקמפיינים המכוונים נגד סוחרים פיננסיים.
  • אנליסטים של NVD העניקו ציון CVSS של 7.8 HIGH ל-CVE-2023-38831, שסומן רשמית על ידי תאגיד MITRE ב-15 באוגוסט 2023.

ציר זמן של ניצול WinRAR

אינפוגרפיקה של ציר הזמן של ניצול WinRAR המפרט פרצות סייבר משמעותיות מאפריל עד אוקטובר 2023, כאשר המדינות והתעשיות שנפגעו מודגשות.

הסבר על פגיעות ב-WinRAR

OPSWAT עמיתים לתואר שני ערכו ניתוח מעמיק של ניצול הפגיעות CVE-2023-38831, המשפיעה על גרסאות WinRAR קודמות לגרסה 6.23. התוכן הזדוני כולל סוגי קבצים שונים ונמצא בתוך קובץ ה-ZIP.

כדי לנצל את CVE-2023-38831, גורמי איום יוצרים קובץ zip זדוני המכיל קבצים מזיקים בתוך תיקייה המחקה את שם קובץ לא מזיק.

צילום מסך של חלון יישום WinRAR המציג את תוכן הקובץ 'Strategy.zip' עם הקבצים 'strategy.pdf' ו-'strategy.pdf.cmd', דבר המצביע על סיכון אבטחה פוטנציאלי.

גם לקובץ הלא מזיק וגם לתיקייה יש רווח כתו האחרון. הקובץ הזדוני יוצב בתיקייה ששמה דומה מאוד לקובץ הלא מזיק.

קטע קוד מטרמינל המציג מבנה ארכיון עם קובץ 'strategy.pdf' שפיר וספרייה עם מטען זדוני 'strategy.pdf.cmd', המצביע על ניצול לרעה של קובץ

כאשר משתמשים מנסים לפתוח את הקובץ השפיר "strategy.pdf באמצעות WinRAR, WinRAR ממשיך לחלץ את כל הקבצים בעלי אותו שם כמו קובץ היעד, ומפקיד אותם בספרייה זמנית בתוך הנתיב %TEMP%.

צילום מסך המציג יומן ניטור תהליכים עם פעולות קבצים המציינות יצירה, חילוץ ופתיחה של קבצים שעשויים להיות קשורים לניצול לרעה של WinRAR

אם ספרייה חולקת את אותו שם כמו הקובץ שנבחר, חילוץ שלה יגרום לכך שהקובץ שנבחר והקבצים שבתוך ספרייה זו יחולצו לתיקייה הזמנית.

הפסאודו-קוד הבא ממחיש את לוגיקת החילוץ של WinRAR וקובע האם יש לחלץ ערך ארכיון.

קטע קוד של פייתון בחלון עורך המציג פונקציה שנועדה לחלץ ולהשוות ערכים בתוך קובץ zip, פוטנציאלית לניתוח אבטחה

במהלך תהליך כתיבת תוכן הקובץ, WinRAR מתאים את נתיבי הקבצים על ידי הסרת רווחים שנוספו באמצעות הליך המכונה נרמול נתיבים.

חלון סייר הקבצים המציג קובץ 'strategy.pdf' וקובץ 'strategy.pdf.cmd', מה שמרמז על בדיקת אבטחה עבור קובץ הפעלה מוסווה

לאחר החילוץ, WinRAR מפעיל את הפעלת הקובץ דרך ShellExecuteExW. עם זאת, הפונקציה משתמשת בנתיב לא מנורמל כקלט. תו הרווח האחרון מתפרש בטעות ככוכבית, מה שמוביל להפעלת הקובץ "strategy.pdf". קובץ ".cmd במקום הקובץ שנבחר במקור.

חלון יישום WinRAR נפתח על קובץ 'strategy.pdf' עם שורת פקודה המציינת ביצוע, כחלק מבדיקת פגיעות אבטחה

סימולציה וזיהוי עם OPSWAT MetaDefender

הוכחת ההיתכנות (POC) עבור CVE-2023-38831 זמינה כבר זמן מה, וגורמי איום מנצלים אותה באופן פעיל בקמפיינים הנוכחיים. כדי לדמות את הפגיעות של CVE-2023-38831, עמיתים לתואר שני ב-OSPWAT השתמשו ב... MetaDefender פלטפורמה, המספקת תובנות מהעולם האמיתי לגבי זיהוי איומים.

מכניקת ניצול

משתמשים יומיומיים עומדים בפני סיכון משמעותי מאיומי סייבר, במיוחד ככל שערוצי שיתוף המידע ממשיכים להתרחב. גורמים זדוניים מנצלים לעתים קרובות את הפגיעות הזו על ידי הסוואת אלמנטים מזיקים בתוך קבצים הניתנים להורדה, כמו קבצי ZIP, אשר מכילים קישורים זדוניים מוטמעים. טקטיקה נפוצה נוספת כוללת פישינג בדוא"ל, שבו משתמשים מקבלים קבצים מצורפים מזיקים שנשלחים לכתובות הדוא"ל שלהם.

זרימת ניצול

תרשים המציג זרימת ניצול אבטחת סייבר הכוללת גורם איום, משתמש ממוקד ושימוש בקובץ ZIP זדוני המנצל פגיעויות ב-WinRAR

כאשר משתמשים לוחצים פעמיים כדי לפתוח את הקובץ, הדבר מפעיל קוד זדוני, מה שמוביל ליצירת מעטפת הפוכה שמתחברת חזרה לגורם המאיים. לאחר יצירת חיבור בהצלחה, התוקף יכול לנצל פקודות ביצוע כדי לפגוע לחלוטין במכשיר של הקורבן.

מסך מסוף של קאלי לינוקס המציג אינטראקציה ברשת, ככל הנראה מדמה התקפה או בודקת הגנות אבטחת רשת.

תהליך סימולציית פגיעויות

חלון סייר הקבצים המפרט טכניקת ניצול לרעה שבה WinRAR סורק קובץ עם שם דומה לקובץ לגיטימי כדי להפעיל תוכנה זדונית

תיקון פגיעויות

ישנן כמה אסטרטגיות עיקריות לתיקון פגיעות זו.

  1. שדרגו את WinRAR לגרסה 6.23 או מאוחרת יותר, אשר מנקה כראוי שמות קבצי ZIP לפני החילוץ כדי לחסום התקפות.
  2. הגדר מסנני שמות קבצי ZIP דרך מדיניות קבוצתית או הגדרות רישום כאמצעי הקלה זמני לפני שדרוג.
  3. סרוק קבצי ZIP שהורדו ממקורות לא ידועים באמצעות כלי אנטי-וירוס לפני החילוץ.
  4. הימנעו מחילוץ קבצי ZIP שהתקבלו באמצעים לא רצויים, כמו אימיילים חשודים.

OPSWAT כיסוי

ניתן לזהות ולגלות את WinRAR CVE-2023-38831 באמצעות הפתרונות הבאים:

OPSWAT MetaDefender Core

MetaDefender Core מספק אבטחה מקיפה להעלאת קבצים כדי להגן מפני תוכנות זדוניות ופרצות נתונים. OPSWAT מְעוּצָב MetaDefender כדי לאבטח את התשתית הקריטית בעולם מפני האיומים המתוחכמים ביותר מבוססי קבצים: תוכנות זדוניות חמקניות מתקדמות, התקפות אפס-יום ו-APTs (איומים מתמשכים מתקדמים).

MetaDefender Core סורק ומנתח את מתקיני WinRAR באמצעות מנוע File-based Vulnerability Assessment כדי לזהות פגיעויות ידועות לפני ביצוען בנקודות קצה. כדי להתמודד עם התקפות קבצים מזויפות כמו CVE-2023-38831, מומלץ מאוד לעבד קבצי ZIP באמצעות File Type Verification . טכנולוגיה זו מאמתת סוגי קבצים על סמך תוכן, ולא על סיומות לא אמינות. MetaDefender Core בנוסף, האפליקציה ממנפת Multiscanning , סורקת קבצי ZIP עם יותר מ-30 מנועי אנטי-וירוס באמצעות חתימות, היוריסטיקות ולמידת מכונה כדי לזהות באופן יזום מעל 99% מהתוכנות הזדוניות. גישה רב-שכבתית זו מסייעת בזיהוי מהיר של תוכנות זדוניות הקשורות ל-CVEs.

לוח מחוונים אבטחה של OPSWAT המצביע על קובץ WinRAR חסום לחילוץ עצמי, עם הערכת פגיעויות מפורטת הכוללת מזהי CVE ודירוגי חומרה

OPSWAT MetaDefender Endpoint

Endpoint MetaDefender מזהה יישומים מסוכנים ומספקת אפשרויות תיקון לפתרון בעיות אבטחה פוטנציאליות. הבטחת אבטחה איתנה של הארגון שלך דורשת הקדשת זמן רב לתיקונים. חיפוש ערני אחר אינדיקטורים להתקפות וזיהוי מיידי של סימנים לניסיונות ניצול או חדירה הם קריטיים. OPSWAT MetaDefender Endpoint מהווה נכס בערכת הכלים שלך, ומאפשר תיקון ועדכון של פגיעויות, כגון WinRAR, לגרסה העדכנית ביותר.

דוח פגיעויות אבטחה עבור WinRAR (x64) המפרט שתי פגיעויות בינוניות, CVE-2023-38831 ו-CVE-2023-40477, עם ציונים ופרטי גרסה

מחשבות אחרונות

הפגיעות CVE-2023-38831 דורשת התייחסות מיידית עקב השימוש הנרחב ב-WinRAR וקלות הניצול שלו. גילוי מוקדם הוא קריטי ו... OPSWAT MetaDefender מציע יכולות מתקדמות לזיהוי והפחתת איומים. כאנשי מקצוע בתחום אבטחת הסייבר, שמירה על עדכונים, יישום אמצעי אבטחה חזקים וטיפוח תרבות של מודעות לסייבר הם בעלי חשיבות עליונה.

לפרויקטים נוספים של סימולציית CVE מאת OPSWAT תוכנית מלגות לתואר שני, הירשמו וגלו את כריכות הבלוג האחרונות שלנו.

דבר עם מומחה
תגיות:

פוסטים אחרונים

הירשמו ל- OPSWAT ניוזלטר

קבלו את העדכונים האחרונים OPSWAT עדכוני חברה יחד עם מידע על אירועים וחדשות שמניעות את התעשייה קדימה.
הירשם

עקבו אחרינו ברשתות החברתיות Media

לַעֲקוֹב OPSWAT בלינקדאין, בפייסבוק, בטוויטר וביוטיוב שלכם לעוד!

הישאר מעודכן עם OPSWAT !

הירשמו עוד היום כדי לקבל את העדכונים האחרונים של החברה, סיפורים, מידע על אירועים ועוד.
הירשם