【目次】
概要
【辞書】
【概要】
■脆弱性
- CVE-2018-20250
- パストラバーサル
■注意事項
◆Explzh は WinRAR の脆弱性の影響を受ける
- Explzh では、WinRAR がインストールされていれば、WinRAR の各モジュールを利用して RAR 書庫の操作を行なう事ができる
- 修正版が公開されている
◆Lhaplus は WinRAR の脆弱性の影響を受ける
- 脆弱性がある「UNACEV2.DLL」を利用
- 脆弱性は未修正
- 詳細は 窓の杜 参照
【最新情報】
◆ウクライナを狙う脅威アクター「UAC-0099」、WinRARを悪用してサイバー攻撃 (マイナビニュース, 2023/12/28 08:47)
https://news.mynavi.jp/techplus/article/20231228-2851344/
⇒ https://malware-log.hatenablog.com/entry/2023/12/28/000000
記事
【ニュース】
■2019年
◆老舗の圧縮解凍ソフト「WinRAR」に19年以上前から存在する脆弱性が発覚 (Gigazine, 2019/02/21 11:06)
https://gigazine.net/news/20190221-winrar-security-flaw/
⇒ http://malware-log.hatenablog.com/entry/2019/02/21/000000_2
◆Malspam Exploits WinRAR ACE Vulnerability to Install a Backdoor (BleepingComputer, 2019/02/25)
https://www.bleepingcomputer.com/news/security/malspam-exploits-winrar-ace-vulnerability-to-install-a-backdoor/
⇒ http://malware-log.hatenablog.com/entry/2019/02/25/000000_1
◆老舗圧縮解凍ソフト「WinRAR」の脆弱性を狙う「悪意あるアーカイブファイル」の実例はこんな感じ (Gigazine, 2019/02/28)
https://gigazine.net/news/20190228-winrar-exploit/
⇒ http://malware-log.hatenablog.com/entry/2019/02/28/000000_8
◆WinRARで見つかった「19年間放置されていた脆弱性」の正体は? (TechTarget, 2019/03/14 05:00)
https://techtarget.itmedia.co.jp/tt/news/1903/14/news11.html
⇒ http://malware-log.hatenablog.com/entry/2019/03/14/000000_7
◆「WinRAR」の脆弱性攻撃が拡大中 - ヒット曲のファイルに偽装 (Security NEXT, 2019/03/15)
http://www.security-next.com/103458
⇒ ttp://malware-log.hatenablog.com/entry/2019/03/15/000000_2
◆19年未発見だったWinRARバグ、公表後に悪用例ザクザク。アリアナ・グランデのCD違法コピーなどから検出 (Engadget, 2019/03/16)
https://japanese.engadget.com/2019/03/15/19-winrar-cd/
⇒ http://malware-log.hatenablog.com/entry/2019/03/16/000000_1
◆WinRARの脆弱性を狙ったマルウェアが急増 (財経新聞, 2019/03/20 22:28)
https://www.zaikei.co.jp/article/20190320/501539.html
⇒ https://malware-log.hatenablog.com/entry/2019/03/20/000000_5
◆「EternalBlue」悪用した攻撃、2017年のWannaCry大規模感染時を上回る数で検出される (Internet Watch, 2019/09/20 14:12)
https://internet.watch.impress.co.jp/docs/news/1208359.html
⇒ https://malware-log.hatenablog.com/entry/2019/09/20/000000
■2021年
◆New Memento ransomware switches to WinRar after failing at encryption (BleepingComputer, 2021/11/18 11:42)
https://www.bleepingcomputer.com/news/security/new-memento-ransomware-switches-to-winrar-after-failing-at-encryption/
⇒ https://malware-log.hatenablog.com/entry/2021/11/18/000000_5
◆Memento ランサムウェアによる WinRAR 悪用の奇策とは? (IoT OT Security News, 2021/11/18)
https://iototsecnews.jp/2021/11/18/new-memento-ransomware-switches-to-winrar-after-failing-at-encryption/
⇒ https://malware-log.hatenablog.com/entry/2021/11/18/000000_4
■2023年
◇2023年4月
◆WinRAR SFX archives can run PowerShell without being detected (BleepingComputer, 2023/04/03 14:20)
[WinRAR SFX アーカイブは、検出されずに PowerShell を実行できます]
https://www.bleepingcomputer.com/news/security/winrar-sfx-archives-can-run-powershell-without-being-detected/
⇒ https://malware-log.hatenablog.com/entry/2023/04/03/000000_3
◇2023年9月
◆脅威者が脅威者を攻撃、WinRAR脆弱性の偽PoCで同業者を狙う (マイナビニュース, 2023/09/25 18:20)
https://news.mynavi.jp/techplus/article/20230925-2776886/
⇒ https://malware-log.hatenablog.com/entry/2023/09/25/000000
◇2023年10月
◆Google links WinRAR exploitation to Russian, Chinese state hackers (BleepingComputer, 2023/10/18 11:00)
[グーグル、WinRARの悪用をロシアと中国の国家ハッカーに関連付ける]
https://www.bleepingcomputer.com/news/security/google-links-winrar-exploitation-to-russian-chinese-state-hackers/
⇒ https://malware-log.hatenablog.com/entry/2023/10/18/000000_6
◇2023年11月
◆Russian hackers use Ngrok feature and WinRAR exploit to attack embassies (BleepingComputer, 2023/11/19 11:14)
[ロシアのハッカー、Ngrok機能とWinRARエクスプロイトを使用して大使館を攻撃]
https://www.bleepingcomputer.com/news/security/russian-hackers-use-ngrok-feature-and-winrar-exploit-to-attack-embassies/
⇒ https://malware-log.hatenablog.com/entry/2023/11/19/000000_1
◇2023年12月
◆ウクライナを狙う脅威アクター「UAC-0099」、WinRARを悪用してサイバー攻撃 (マイナビニュース, 2023/12/28 08:47)
https://news.mynavi.jp/techplus/article/20231228-2851344/
⇒ https://malware-log.hatenablog.com/entry/2023/12/28/000000
【ブログ】
■2019年
◆Warning! Upgrades in WinRAR Exploit with Social Engineering and Encryption (360, 2019/02/27)
https://ti.360.net/blog/articles/upgrades-in-winrar-exploit-with-social-engineering-and-encryption/
⇒ http://malware-log.hatenablog.com/entry/2019/02/27/000000_2
【公開情報】
■2019年
◆Extracting a 19 Year Old Code Execution from WinRAR (Check Point, 2019/02/20)
https://research.checkpoint.com/extracting-code-execution-from-winrar/?_fsi=0BiuwRe4&_fsi=xox0iKc6
⇒ http://malware-log.hatenablog.com/entry/2019/02/20/000000_9
◆WinRAR の脆弱性を悪用する攻撃が確認される – セキュリティバイト (WatchGuard, 2019/03/08)
https://www.watchguard.co.jp/security-news/winrar-exploited-in-the-wild-security-byte.html
⇒ http://malware-log.hatenablog.com/entry/2019/03/08/000000_9
■2021年
◆攻撃グループLazarusが侵入したネットワーク内で使用するツール (JPCERT/CC, 2021/01/19)
https://blogs.jpcert.or.jp/ja/2021/01/Lazarus_tools.html
⇒ https://malware-log.hatenablog.com/entry/2021/01/19/000000_7
【関連情報】
■Explzh
◆Explzh for Windows 修正履歴 (pon software, 2019/02/24)
https://www.ponsoftware.com/archiver/explzh/explzh.htm
◆19年前から存在するACE書庫の脆弱性は「Explzh」にも影響 ~対策版のv7.74が公開 (窓の杜, 2019/02/26 11:30)
同梱の「UnRAR.dll」や「7z.dll」も最新版へ差し替えられる
■Lhaplus
◆Lhaplus (ラプラス)
本ソフトで利用されているランタイム「UNACEV2.DLL」にはゼロデイ脆弱性が存在し、本ソフトでは修正されていない可能性があるため、ACE形式のファイルの解凍には本ソフトを利用しないでください
https://forest.watch.impress.co.jp/library/software/lhaplus/
関連情報
【関連まとめ記事】
◆一般的なツール (まとめ)
https://malware-log.hatenablog.com/entry/General_Tools
【インディケータ情報】
■ハッシュ情報(MD5)
d7d30c2f26084c6cfe06bc21d7e813b1
f9564c181505e3031655d21c77c924d7
65e6831bf0f3af34e19f25dfaef49823
9cfb87f063ab3ea5c4f3934a23e1d6f9
f8c9c16e0a639ce3b548d9a44a67c8c1
e26ae92a36e08cbaf1ce7d7e1f3d973e
