ระวังภัย ช่องโหว่ 0-day ใน WinRAR ผู้ไม่หวังดีสามารถปลอมแปลง Extension ของไฟล์ที่อยู่ภายในไฟล์ .zip เพื่อหลอกให้ติดตั้งมัลแวร์ประเภทภัยคุกคาม: Malicious Code
ข้อมูลทั่วไปนักวิจัยด้านความมั่นคงปลอดภัยชาวอิสราเอลชื่อ Danor Cohen ได้ค้นพบช่องโหว่ในโปรแกรม WinRAR ซึ่งทำให้ผู้ไม่หวังดีสามารถปลอมแปลงนามสกุล (Extension) ของไฟล์ที่อยู่ในไฟล์ .zip เพื่อหลอกให้ผู้ใช้เปิดใช้งานไฟล์ดังกล่าวได้ [1]
โดยปกติแล้ว โครงสร้างของไฟล์ .zip จะเป็นดังรูปที่ 1 โดย Offset ที่ 30 คือชื่อดังเดิมของไฟล์ที่อยู่ในไฟล์ .zip
รูปที่ 1 โครงสร้างของไฟล์ .zip เมื่อใช้โปรแกรม WinRAR สร้างไฟล์ .zip ก็จะได้ไฟล์ที่มีโครงสร้างตามรูปที่ 1 แต่ฟังก์ชันสร้างไฟล์ .zip ของโปรแกรม WinRAR มีการสร้างข้อมูลส่วนขยายเพิ่มเข้ามาอีกคือส่วนที่เป็นคุณสมบัติของไฟล์ที่อยู่ในไฟล์ .zip ซึ่งข้อมูลดังกล่าวมีส่วนของชื่อไฟล์ด้วย ทำให้ในไฟล์ .zip มีข้อมูลของชื่อไฟล์ที่อยู่ข้างใน ปรากฎอยู่ 2 ที่
นักวิจัยพบว่า ข้อมูลชื่อไฟล์ที่อยู่ในไฟล์ .zip ถูกใช้งานแตกต่างกัน คือชื่อไฟล์ที่แสดงอยู่ในตำแหน่งแรก (ลูกศรสีเขียว) จะเป็นชื่อไฟล์ที่ได้หลังจากที่ Extract ไฟล์ออกมา ซึ่งจะเป็นชื่อไฟล์เดียวกันกับที่แสดงเมื่อใช้โปรแกรม WinRAR เปิดดูไฟล์ .zip ในขณะที่ชื่อไฟล์ในตำแหน่งที่สอง (ลูกศรสีแดง) เป็นส่วนอธิบายรายละเอียดของไฟล์ ซึ่งโปรแกรม WinRAR สร้างขึ้นมาเพิ่มเติม ตัวอย่างข้อมูลชื่อไฟล์ที่ปรากฎอยู่ในไฟล์ .zip ดังแสดงในรูปที่ 2
รูปที่ 2 ตัวอย่างข้อมูลชื่อไฟล์ที่ปรากฎอยู่ในไฟล์ .zip สาเหตุของช่องโหว่ในครั้งนี้ เกิดจากการที่โปรแกรมไม่มีการตรวจสอบว่าชื่อไฟล์ในทั้ง 2 ตำแหน่งนั้นตรงกันหรือไม่ ทำให้ผู้ไม่หวังดีสามารถแก้ไขชื่อไฟล์ให้แสดงผลในโปรแกรม WinRAR เป็นชื่อหนึ่ง แต่เมื่อ Extract ไฟล์ออกมา ปรากฎเป็นอีกชื่อหนึ่งได้
ผลกระทบผู้ไม่หวังดีสามารถใช้โปรแกรม WinRAR สร้างไฟล์ .zip ที่ภายในบรรจุโปรแกรมอันตรายไว้ (เช่น ไฟล์ .exe) แล้วแก้ไขข้อมูลชื่อไฟล์ดังกล่าวให้เป็นไฟล์ที่ไม่น่าจะมีลักษณะอันตราย (เช่น เปลี่ยนนามสกุลเป็นไฟล์ .txt หรือ .mp3) ซึ่งหากผู้ใช้หลงเชื่อและดับเบิ้ลคลิกไฟล์ดังกล่าวจากหน้าต่างโปรแกรม WinRAR ก็จะเป็นการเรียกใช้งานโปรแกรมอันตรายนั้นทันที
ปัจจุบันพบการโจมตีผ่านช่องโหว่นี้แล้ว โดยพบว่ามีการส่งอีเมลที่แนบไฟล์ .zip ดังตัวอย่างในรูปที่ 3 ไปยังหน่วยงานสำคัญๆ ในต่างประเทศ เช่น สถานฑูต บริษัท หรือหน่วยงานทางทหาร
รูปที่ 3 ตัวอย่างการโจมตีผ่านทางอีเมล ระบบที่ได้รับผลกระทบในเบื้องต้นนาย Danor แจ้งว่าช่องโหว่ดังกล่าวนี้มีผลกระทบกับโปรแกรม WinRAR เวอร์ชัน 4.2.0 แต่จากการตรวจสอบเพิ่มเติมของบริษัท IntelCrawler พบว่าช่องโหว่นี้มีผลกับโปรแกรม WinRAR ทุกเวอร์ชัน [2]
ข้อแนะนำในการป้องกันและแก้ไข-ผู้ใช้งานควรมีความระมัดระวังการเปิดใช้งานไฟล์ต่างๆ ที่ได้รับ และพิจารณาอีเมลที่มีการแนบไฟล์ โดยเฉพาะอย่างยิ่งไฟล์ถูกบีบอัดด้วยนามสกุล .zip ซึ่งอาจเป็นอีเมลของผู้ไม่หวังดี เพื่อหลอกให้ติดมัลแวร์
-ติดตั้งโปรแกรมแอนตี้ไวรัสที่มีการอัพเดทอยู่เสมอ เพื่อใช้ในการสแกนไฟล์มัลแวร์ที่อาจถูกลักลอบส่งเข้ามาผ่านเทคนิคของช่องโหว่นี้
อ้างอิงhttp://an7isec.blogspot.co.il/2014/03/winrar-file-extension-spoofing-0day.htmlhttp://intelcrawler.com/report_2603.pdfที่มา:
https://www.thaicert.or.th/alerts/user/2014/al2014us009.html