【漏洞通告】WinRAR远程代码实行漏洞(CVE-2021-35052)

发布时间 2021-10-22

0x00 漏洞概述

CVE     ID

CVE-2021-35052

时      间

2021-10-20

类      型

RCE

等      级

高危

远程利用

影响范围

WinRAR 5.70

攻击复杂度


可用性


用户交互


所需权限


PoC/EXP


在野利用


 

0x01 漏洞详情

image.png

WinRAR是一款功能强大的压缩包管理器,可以使用它创建和解压常见的压缩包格式,如 RAR 和 ZIP等类型。

2021 年 10 月 20 日,WinRAR Windows试用版5.70被公开披露可能存在远程代码实行漏洞(CVE-2021-35052),远程攻击者可以通过拦截和修改发送给应用程序用户的请求,最终实现在受害者的计算机上远程实行任意代码。

image.png

对该漏洞的研究源于MSHTML(又名Trident)所呈现的JavaScript错误,MSHTML是目前已停用的Internet Explorer的专有浏览器引擎,在Office中用于呈现Word、Excel和PowerPoint文档中的web内容,从而发现在试用期满后启动应用程序时,错误窗口每三次显示一次。

通过拦截WinRAR通过 notifier.rarlab[.com]提醒用户免费试用期结束时发送的响应代码,并将其修改为“301 Moved Permanently” 重定向消息,该漏洞可以被滥用来为所有后续请求缓存重定向到攻击者控制的恶意域。除此之外,已经能够访问同一网络域的攻击者可以实行ARP欺骗攻击,以远程启动应用程序、检索本地主机信息,甚至运行任意代码。

 

影响范围

WinRAR Windows 5.70试用版

 

0x02 处置建议

目前漏洞已经公开披露,建议受影响的用户使用官方付费版本。

下载链接:

http://www.winrar.com.cn/

 

0x03 参考链接

https://swarm.ptsecurity.com/winrars-vulnerable-trialware-when-free-software-isnt-free/

https://thehackernews.com/2021/10/bug-in-free-winrar-software-could-let.html

https://securityaffairs.co/wordpress/123652/hacking/winrar-trial-flaw.html?utm_source=rss&utm_medium=rss&utm_campaign=winrar-trial-flaw

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-10-22

首次发布

 

0x05 文档附录

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

CVSS:www.first.org

NVD:nvd.nist.gov

 

0x06 关于大家

关注以下公众号,获取更多资讯:

image.png