ระวังภัย ช่องโหว่ 0-day ใน WinRAR ผู้ไม่หวังดีสามารถปลอมแปลง Extension ของไฟล์ที่อยู่ภายในไฟล์ .zip เพื่อหลอกให้ติดตั้งมัลแวร์
ประเภทภัยคุกคาม: Malicious Code
ข้อมูลทั่วไป
นักวิจัยด้านความมั่นคงปลอดภัยชาวอิสราเอลชื่อ Danor Cohen ได้ค้นพบช่องโหว่ในโปรแกรม WinRAR ซึ่งทำให้ผู้ไม่หวังดีสามารถปลอมแปลงนามสกุล (Extension) ของไฟล์ที่อยู่ในไฟล์ .zip เพื่อหลอกให้ผู้ใช้เปิดใช้งานไฟล์ดังกล่าวได้ [1]
โดยปกติแล้ว โครงสร้างของไฟล์ .zip จะเป็นดังรูปที่ 1 โดย Offset ที่ 30 คือชื่อดังเดิมของไฟล์ที่อยู่ในไฟล์ .zip
(http://uppic.nickcs.com/upload/big/2014/04/11/5347ecae7f4f2.jpg) (http://board.nickcs.com/go.php?http://uppic.nickcs.com/img-5347ecae7f8d9.html)
รูปที่ 1 โครงสร้างของไฟล์ .zip
เมื่อใช้โปรแกรม WinRAR สร้างไฟล์ .zip ก็จะได้ไฟล์ที่มีโครงสร้างตามรูปที่ 1 แต่ฟังก์ชันสร้างไฟล์ .zip ของโปรแกรม WinRAR มีการสร้างข้อมูลส่วนขยายเพิ่มเข้ามาอีกคือส่วนที่เป็นคุณสมบัติของไฟล์ที่อยู่ในไฟล์ .zip ซึ่งข้อมูลดังกล่าวมีส่วนของชื่อไฟล์ด้วย ทำให้ในไฟล์ .zip มีข้อมูลของชื่อไฟล์ที่อยู่ข้างใน ปรากฎอยู่ 2 ที่
นักวิจัยพบว่า ข้อมูลชื่อไฟล์ที่อยู่ในไฟล์ .zip ถูกใช้งานแตกต่างกัน คือชื่อไฟล์ที่แสดงอยู่ในตำแหน่งแรก (ลูกศรสีเขียว) จะเป็นชื่อไฟล์ที่ได้หลังจากที่ Extract ไฟล์ออกมา ซึ่งจะเป็นชื่อไฟล์เดียวกันกับที่แสดงเมื่อใช้โปรแกรม WinRAR เปิดดูไฟล์ .zip ในขณะที่ชื่อไฟล์ในตำแหน่งที่สอง (ลูกศรสีแดง) เป็นส่วนอธิบายรายละเอียดของไฟล์ ซึ่งโปรแกรม WinRAR สร้างขึ้นมาเพิ่มเติม ตัวอย่างข้อมูลชื่อไฟล์ที่ปรากฎอยู่ในไฟล์ .zip ดังแสดงในรูปที่ 2
(http://uppic.nickcs.com/upload/big/2014/04/11/5347ecda634a6.jpg) (http://board.nickcs.com/go.php?http://uppic.nickcs.com/img-5347ecda63888.html)
รูปที่ 2 ตัวอย่างข้อมูลชื่อไฟล์ที่ปรากฎอยู่ในไฟล์ .zip
สาเหตุของช่องโหว่ในครั้งนี้ เกิดจากการที่โปรแกรมไม่มีการตรวจสอบว่าชื่อไฟล์ในทั้ง 2 ตำแหน่งนั้นตรงกันหรือไม่ ทำให้ผู้ไม่หวังดีสามารถแก้ไขชื่อไฟล์ให้แสดงผลในโปรแกรม WinRAR เป็นชื่อหนึ่ง แต่เมื่อ Extract ไฟล์ออกมา ปรากฎเป็นอีกชื่อหนึ่งได้
ผลกระทบ
ผู้ไม่หวังดีสามารถใช้โปรแกรม WinRAR สร้างไฟล์ .zip ที่ภายในบรรจุโปรแกรมอันตรายไว้ (เช่น ไฟล์ .exe) แล้วแก้ไขข้อมูลชื่อไฟล์ดังกล่าวให้เป็นไฟล์ที่ไม่น่าจะมีลักษณะอันตราย (เช่น เปลี่ยนนามสกุลเป็นไฟล์ .txt หรือ .mp3) ซึ่งหากผู้ใช้หลงเชื่อและดับเบิ้ลคลิกไฟล์ดังกล่าวจากหน้าต่างโปรแกรม WinRAR ก็จะเป็นการเรียกใช้งานโปรแกรมอันตรายนั้นทันที
ปัจจุบันพบการโจมตีผ่านช่องโหว่นี้แล้ว โดยพบว่ามีการส่งอีเมลที่แนบไฟล์ .zip ดังตัวอย่างในรูปที่ 3 ไปยังหน่วยงานสำคัญๆ ในต่างประเทศ เช่น สถานฑูต บริษัท หรือหน่วยงานทางทหาร
(http://uppic.nickcs.com/upload/big/2014/04/11/5347ed04b8959.png) (http://board.nickcs.com/go.php?http://uppic.nickcs.com/img-5347ed04b8d38.html)
รูปที่ 3 ตัวอย่างการโจมตีผ่านทางอีเมล
ระบบที่ได้รับผลกระทบ
ในเบื้องต้นนาย Danor แจ้งว่าช่องโหว่ดังกล่าวนี้มีผลกระทบกับโปรแกรม WinRAR เวอร์ชัน 4.2.0 แต่จากการตรวจสอบเพิ่มเติมของบริษัท IntelCrawler พบว่าช่องโหว่นี้มีผลกับโปรแกรม WinRAR ทุกเวอร์ชัน [2]
ข้อแนะนำในการป้องกันและแก้ไข
-ผู้ใช้งานควรมีความระมัดระวังการเปิดใช้งานไฟล์ต่างๆ ที่ได้รับ และพิจารณาอีเมลที่มีการแนบไฟล์ โดยเฉพาะอย่างยิ่งไฟล์ถูกบีบอัดด้วยนามสกุล .zip ซึ่งอาจเป็นอีเมลของผู้ไม่หวังดี เพื่อหลอกให้ติดมัลแวร์
-ติดตั้งโปรแกรมแอนตี้ไวรัสที่มีการอัพเดทอยู่เสมอ เพื่อใช้ในการสแกนไฟล์มัลแวร์ที่อาจถูกลักลอบส่งเข้ามาผ่านเทคนิคของช่องโหว่นี้
อ้างอิง
http://an7isec.blogspot.co.il/2014/03/winrar-file-extension-spoofing-0day.html
http://intelcrawler.com/report_2603.pdf
ที่มา: https://www.thaicert.or.th/alerts/user/2014/al2014us009.html