據security affairs消息，網絡安全專家Igor Sak-Sakovskiy發現了WinRAR的一個遠程代碼執行漏洞，漏洞編號CVE-2021-35052。

該漏洞出現在WinRAR的Windows試用版本，漏洞版本為5.70，黑客可利用該漏洞遠程攻擊計算機系統。

Igor Sak-Sakovskiy表示，“這個漏洞允許攻擊者攔截和修改系統發送給用戶的請求，這樣就可以在用戶電腦上實現遠程代碼執行(RCE)。我們也是在WinRAR 5.70 版中偶然發現了這個漏洞。”

安全專家在安裝了WinRAR后，發現它存在一個JavaScript 錯誤，具體表現形式是，在瀏覽器中彈出下圖這樣的錯誤窗口。

經過一系列的測試之后，安全專家發現軟件試用期滿后，軟件會開始顯示錯誤消息，基本上是每三次執行一次。這個彈出“錯誤顯示”的窗口是通過系統文件mshtml.dll報錯來實現，它和WinRAR一樣，都是用 Borland的 C++語言編寫的。

安全專家使用Burp Suite作為默認的Windows代理，以此攔截消息顯示時生成的流量。

WinRAR在軟件試用期結束后，會通過“notifier.rarlab[.]com”來提醒用戶，安全專家在分析了發送給用戶的響應代碼后發現，攻擊者會把提醒信息修改成“301永久移動”的重定向消息，這樣就可以將后續所有的請求緩存重定向到惡意域中。

安全專家還注意到，當攻擊者可以訪問同一網絡域之后，就會發起ARP欺騙攻擊，以便遠程啟動應用程序，檢索本地主機信息并執行任意代碼。

隨后，我們試圖攔截、修改WinRAR發送給用戶的反饋信息，而不是去攔截和更改默認域，讓“notifier.rarlab.com”每次都響應我們的惡意內容。我們進一步發現，如果如果響應代碼被更改為“301永久移動”，并重定向緩存到我們的“attacker.com”惡意域，這樣所有的請求都會轉到“attacker.com”。

最后，安全專家指出，第三方軟件中的漏洞會對企業和組織產生嚴重風險。這些漏洞的存在，可以讓攻擊者訪問系統的任何資源，甚至是訪問托管網絡中的所有資源。

“在安裝應用程序之前，我們不可能確保每一個程序都沒問題，因此用戶的策略對于外部應用程序的風險管理至關重要，以及如何平衡應用程序的業務需求和安全風險，也依賴于用戶的選擇。如果使用、管理不當，很有可能會產生非常嚴重的后果。”

參考來源：https://securityaffairs.co/wordpress/123652/hacking/winrar-trial-flaw.html