今週の初め、WinRAR v 5.21 に関連してリモートコードが実行される緊急の脆弱性が、セキュリティ研究者 Mohammad Reza Espargham 氏によって新たに発見されました。WinRAR は人気の高いファイル圧縮ユーティリティで、全世界の多くのユーザーによって利用されています。
Espargham 氏によると、攻撃者がこの脆弱性を悪用すると、標的としたシステム固有のコードをリモートで不正に実行し、そのシステムに侵入できるといいます。この問題が存在するのは、"Text to display in SFX window" モジュールの "Text and Icon" 関数です。リモートの攻撃者は、悪質なペイロードを含めて独自の圧縮アーカイブを生成し、システム固有のコードを実行して侵入に成功できます。
シマンテックセキュリティレスポンスは、Espargham 氏から提供された概念実証と、Exploit-DB で今日発表された追加の概念実証との両方を解析しました。
この脆弱性は緊急ですが、攻撃者はソーシャルエンジニアリングを用いてユーザーを欺き、自己解凍アーカイブ(SFX)ファイルとしてコンピュータに保存されている悪質な実行可能ファイルを実行させる必要があります。
Exploit-DB シマンテックの解析によって、Exploit-DB で発表された悪用コードは実行するのが困難であることもわかっています。この脆弱性を悪用するには、ARP と DNS を偽装し、正規だが失効している WinRAR のコピーを取得して、WinRAR の実行時に任意のリモートコードを実行しなければならないからです。脆弱性が存在することは確かですが、必要なネットワークアクセスのレベルが高く複雑なため、実際に悪用を試みるのは難しいと考えられます。
図. Exploit-DB で発表された WinRAR 悪用の概念実証
対処方法 この機会を借りて再確認しておきたいと思います。自己解凍形式のアーカイブファイルは、危険な可能性のある実行可能ファイルと同じように慎重に扱わねばなりません。出どころにかかわらず信頼されていないファイルを実行すると、今回見つかった新しい脆弱性とは別に、一般的にもリスクを伴うということです。予期しないファイルやソースの不明なファイルは、開いたり実行したりしないようお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】