![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.2019021201.png){kind=logo}
WinRAR の ZIP アーカイブの取り扱いに起因するファイル偽装の脆弱性(Scan Tech Report)
WinRAR には、ZIP アーカイブ内のファイル名を適切にチェックせず処理してしまう脆弱性が存在します。
脆弱性と脅威
エクスプロイト
WinRAR には、ZIP アーカイブ内のファイル名を適切にチェックせず処理してしまう脆弱性が存在します。
ユーザが WinRAR の GUI から ZIP アーカイブ内のファイルを閲覧した場合、表示内容とは異なるファイル名を偽装した不正なファイルが実行される可能性があります。
脆弱性を悪用された場合の影響度が高いため、Windows 環境で影響を受けるバージョンの WinRAR を利用するユーザは可能な限り以下の対策を実施することを推奨します。
2.深刻度(CVSS)
CVE-ID 未割り当てのため、現状なし
3.影響を受けるソフトウェア
WinRAR 4.20 以前
4.解説
ZIP アーカイブのファイル名は、セントラルディレクトリファイルヘッダ※1で指定されるファイルを表示します。
WinRAR には、ZIP アーカイブ内のファイルを処理する際に、セントラルディレクトリファイルヘッダで指定されるファイル名ではなく、ローカルファイルヘッダで指定されるファイル名でファイルを処理してしまう脆弱性が存在します。
このことにより、ユーザが WinRAR の GUI から ZIP アーカイブ内のファイルを閲覧した場合に、表示内容とは異なるファイル名を偽装した不正なファイルが実行されてしまいます。
なお、IntelCrawler 社※2 によれば、航空宇宙企業などに対するこの脆弱性を悪用した標的型攻撃を確認していると報告しています。
この攻撃は、欧州理事会 (European Council) を装った、FAX.zip という添付ファイル付きのメールが送付され、FAX.zip の中身は、ファイルを偽装したオンラインバンキングのアカウント情報を盗むマルウェア Zeus であったとしています。
※1 http://en.wikipedia.org/wiki/Zip_%28file_format%29
※2 http://intelcrawler.com/report_2603.pdf
5.対策
以下の Web サイトより、WinRAR 5.0.0 以降を入手しアップデートすること
で、この脆弱性を解消することが可能です。
WinRAR and RAR archiver downloads:
http://www.rarlab.com/download.htm
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンスマイニングマルウェアを脆弱性影響分析に活用 - LACのアイデア
マイニング効率を上げるため、かなり攻撃コードは賢い設計になっている。例えばモネロはマイニングにASIC利用を排除するようになっている。
-
Microsoft Windows において ALPC における処理の不備により管理者権限で任意のファイルが削除可能となる脆弱性(Scan Tech Report)
Microsoft Windows OS において、権限の昇格が可能となる脆弱性が報告されています。
-
事件の背景 世界に広がるサイバー軍需産業 NSOグループと BlackCube
>> 本稿の前編にあたる「スパイ代行業者に狙われた権力監視機関シチズンラボ」はこちら
-
スパイ代行業者に狙われた権力監視機関シチズンラボ
カナダのトロント大学にあるシチズンラボは、これまで国家が国民に対して行うネット上の検閲や監視活動を多数暴いており、政府向けに監視用のスパイウェアを開発、提供してきたサイバー軍需企業の活動も明らかにしてきた。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
Facebook、Twitter ~メジャー SNS で堂々と活動するサイバー犯罪者
Dockerコンテナなどに使用される「runc」にコマンド実行の脆弱性(JPCERT/CC)
CrowdStrike Blog:可視化と制御、職場での USB 安全利用の秘訣
複数のIntel製品に脆弱性、アップデートを公開(JVN)
月例セキュリティ情報を公開、対象ソフトウェアは13種(IPA、JPCERT/CC)
アドビが2件のセキュリティアップデートを公開、適用を呼びかけ(JPCERT/CC、IPA)
インシデント・事故 記事一覧へ
ferret Oneやマケストへの不正アクセス、顧客情報の流出の痕跡は確認されず(ベーシック)
チケットの案内に関するメールで個人情報を誤送信(阪神タイガース)
禁止されているにもかかわらずお得意様情報を持ち出し車上に置き忘れ紛失(大丸松坂屋百貨店)
NHK放送博物館で開催予定のイベントのお知らせメールを誤送信、アドレスと一部名前が流出(NHK)
委託先の事業者が研修会の案内メールを誤送信、45件の個人メールアドレスが流出(東京観光財団)
団体登録更新手続き再確認メールを誤送信、149件のアドレスが流出(横浜市)
調査・レポート・白書 記事一覧へ
メールサーバセキュリティ診断の結果、61%が「要改善」(デージーネット)
Telnetへの攻撃は大きく減少するも、半数以上がIoT機器を狙う攻撃(NICT)
Windows10 導入企業 4 割がセキュリティ強化のためと回答(GfKジャパン)
宅配便業者を騙るSMSと、セクストーションメールが急増(IPA)
フィッシングメールの相談が増加、BECも4件の情報提供(IPA)
企業への攻撃数が増加傾向、特に50~199人規模が突出(サイバーセキュリティクラウド)
研修・セミナー・カンファレンス 記事一覧へ
マイニングマルウェアを脆弱性影響分析に活用 - LACのアイデア
NGAV・EDRは怖くない、一人情シス安心の賢いセキュリティ対策を紹介(ソリトン、セコムトラストシステムズ)
未来の重要セキュリティ職種「スレットハンター」とは
インテリジェンスと標準化をキーワードに考えるセキュリティ戦略セミナー(SHIFT SECURITY)
機械学習・ディープラーニングの安全なセキュリティへの活用
![[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像](/imgs/std_m/25020.jpg)
