Một lỗ hổng bảo mật nghiêm trọng vừa được các chuyên gia phát hiện trong WinRAR, phần mềm nén và giải nén tập tin cực kỳ phổ biến trên máy tính Windows, đặt hàng triệu người dùng trước nguy cơ tiềm ẩn. Lỗi này ảnh hưởng đến tất cả các phiên bản WinRAR cũ hơn bản 7.11 mới nhất, cho phép kẻ tấn công tạo ra các tập tin lưu trữ đặc biệt có khả năng thực thi mã độc mà không kích hoạt cơ chế cảnh báo quan trọng "Mark of the Web" (MotW) của hệ điều hành Windows.
Những điểm chính
Tuy nhiên, lỗ hổng mới được phát hiện trong WinRAR có thể vô hiệu hóa hoàn toàn cảnh báo MotW này. Theo ghi chú phát hành của phiên bản WinRAR 7.11 và báo cáo từ nhà nghiên cứu Shimamine Taihei thuộc công ty bảo mật Mitsui Bussan Secure Directions (Nhật Bản) - người đã phát hiện và báo cáo lỗi - vấn đề nằm ở cách WinRAR xử lý các liên kết tượng trưng (symbolic links hay symlinks).
Cụ thể, kẻ tấn công có thể tạo ra một tập tin lưu trữ (ví dụ: file .zip hoặc .rar) chứa một symlink được chế tạo đặc biệt, trỏ đến một tập tin thực thi độc hại (.exe). Khi người dùng sử dụng một phiên bản WinRAR cũ (trước 7.11) để giải nén và mở symlink này, WinRAR sẽ bỏ qua việc kiểm tra dữ liệu MotW đi kèm với tập tin gốc. Kết quả là, chương trình độc hại có thể được thực thi ngay lập tức mà không có bất kỳ cảnh báo nào hiển thị cho người dùng.
Mặc dù việc khai thác lỗ hổng này đòi hỏi người dùng phải tự tay mở tập tin chứa symlink độc hại, nhưng việc nó có thể vượt qua được cơ chế cảnh báo MotW là cực kỳ đáng lo ngại. MotW đóng vai trò như một người gác cổng quan trọng, và việc "lách" qua được nó mở ra cánh cửa cho các cuộc tấn công bằng phần mềm độc hại trở nên dễ dàng và nguy hiểm hơn nhiều.
May mắn là nhóm phát triển WinRAR đã nhanh chóng khắc phục lỗ hổng này. Bản vá đã được tích hợp trong phiên bản WinRAR 7.11 trở lên. Do đó, để bảo vệ máy tính của mình khỏi nguy cơ tiềm ẩn này, tất cả người dùng đang sử dụng phần mềm WinRAR được khuyến cáo mạnh mẽ nên kiểm tra phiên bản hiện tại và cập nhật ngay lập tức lên bản 7.11 hoặc mới hơn. Việc bỏ qua một bản cập nhật bảo mật quan trọng, dù lỗ hổng có vẻ nhỏ, cũng có thể tạo cơ hội cho tin tặc khai thác và gây ra những thiệt hại không đáng có.
Những điểm chính
- Phát hiện lỗ hổng bảo mật nghiêm trọng trong các phiên bản WinRAR cũ (trước bản 7.11).
- Lỗ hổng cho phép mã độc thực thi mà không kích hoạt cảnh báo "Mark of the Web" (MotW) của Windows khi mở file từ Internet.
- Nguyên nhân do cách WinRAR xử lý các tập tin liên kết tượng trưng (symlink) được tạo đặc biệt bởi kẻ tấn công.
- Lỗi này đã được khắc phục hoàn toàn trong phiên bản WinRAR 7.11 và các phiên bản mới hơn.
- Người dùng WinRAR được khuyến cáo khẩn trương cập nhật lên phiên bản mới nhất để đảm bảo an toàn.
Tuy nhiên, lỗ hổng mới được phát hiện trong WinRAR có thể vô hiệu hóa hoàn toàn cảnh báo MotW này. Theo ghi chú phát hành của phiên bản WinRAR 7.11 và báo cáo từ nhà nghiên cứu Shimamine Taihei thuộc công ty bảo mật Mitsui Bussan Secure Directions (Nhật Bản) - người đã phát hiện và báo cáo lỗi - vấn đề nằm ở cách WinRAR xử lý các liên kết tượng trưng (symbolic links hay symlinks).
Cụ thể, kẻ tấn công có thể tạo ra một tập tin lưu trữ (ví dụ: file .zip hoặc .rar) chứa một symlink được chế tạo đặc biệt, trỏ đến một tập tin thực thi độc hại (.exe). Khi người dùng sử dụng một phiên bản WinRAR cũ (trước 7.11) để giải nén và mở symlink này, WinRAR sẽ bỏ qua việc kiểm tra dữ liệu MotW đi kèm với tập tin gốc. Kết quả là, chương trình độc hại có thể được thực thi ngay lập tức mà không có bất kỳ cảnh báo nào hiển thị cho người dùng.
Mặc dù việc khai thác lỗ hổng này đòi hỏi người dùng phải tự tay mở tập tin chứa symlink độc hại, nhưng việc nó có thể vượt qua được cơ chế cảnh báo MotW là cực kỳ đáng lo ngại. MotW đóng vai trò như một người gác cổng quan trọng, và việc "lách" qua được nó mở ra cánh cửa cho các cuộc tấn công bằng phần mềm độc hại trở nên dễ dàng và nguy hiểm hơn nhiều.
May mắn là nhóm phát triển WinRAR đã nhanh chóng khắc phục lỗ hổng này. Bản vá đã được tích hợp trong phiên bản WinRAR 7.11 trở lên. Do đó, để bảo vệ máy tính của mình khỏi nguy cơ tiềm ẩn này, tất cả người dùng đang sử dụng phần mềm WinRAR được khuyến cáo mạnh mẽ nên kiểm tra phiên bản hiện tại và cập nhật ngay lập tức lên bản 7.11 hoặc mới hơn. Việc bỏ qua một bản cập nhật bảo mật quan trọng, dù lỗ hổng có vẻ nhỏ, cũng có thể tạo cơ hội cho tin tặc khai thác và gây ra những thiệt hại không đáng có.
