早些时候我们提到有安全公司发现WinRAR附带的组件库存在漏洞, 攻击者可以利用这个漏洞完全接管设备,但WinRAR只是代表其实全球超过20种压缩管理器如 Bandizip 也同样附带这个组件库因此也存在安全风险。目前研究人员已经发现有黑客团队开始利用这个漏洞,所幸如果用户没有关闭 UAC 账户控制的话无法提权。
ACE格式的文件是什么:
该文件格式是20年前比较活跃的压缩文件归档格式,最初.ACE格式使用率高于.RAR但后来被.RAR格式反超,同时ACE格式也是专有的即没有开源或者是免费提供等,如果想要打包ACE格式只能使用开发商提供的软件。
不过开发商允许其他软件调用软件库提取ACE格式的文档,即第三方软件可以打开ACE文档但不能修改压缩,也正是如此多数压缩管理器为兼容ACE格式的文档会内置其软件库,被安全公司发现漏洞的正是这个软件库。
开启UAC账户控制还是很重要的:
据奇虎360 威胁情报中心透露目前已经拦截到携带恶意代码的压缩文件,这个文件正是利用ACE软件库漏洞,这个恶意文件利用钓鱼邮件进行传播, 但在进行漏洞利用时需要获得管理员权限所以会弹出 UAC 账户控制,只要用户没有点确定给予其管理员权限则对应的代码无法运行,若给予权限则将恶意软件设置计划启动任务,当用户下次启动电脑时恶意软件实现开机自启动,然后连接到攻击者的服务器下载各种渗透工具和广告软件。
谷歌VirusTotal在线扫描显示目前部分安全软件已经可以拦截此病毒,不过多数的杀毒软件尚无法对其拦截。
简单粗暴的解决方案:
不论你使用的是什么压缩管理器都可以直接打开安装目录,然后将其中UNACEV2.DLL软件库彻底删除即可,理论上只要删除这个软件库即便有通过ACE文档进行攻击也无法利用漏洞,这种处理方式可以快速解决问题,目前诸如WinRAR在内的部分压缩管理器已经开始发布新版本,其实新版本也就是直接删除UNACEV2.DLL。
这个软件库已经19年没更新同时也没人继续维护,这次安全事件后估计 ACE 专有格式也被加速从市场清除。
