黑客已经开始利用WinRAR等压缩管理器漏洞攻击用户

在之前我们就提到有安全公司发现WinRAR附带的组件库存在漏洞, 黑客们可以利用这个漏洞完全接管设备。

但WinRAR只是代表其实全球超过20种压缩管理器如 Bandizip 也同样附带这个组件库因此也存在安全风险。

目前研究人员已经发现有黑客团队开始利用这个漏洞，所幸如果用户没有关闭 UAC 账户控制的话无法提权。

ACE格式的文件是什么：

该文件格式是20年前比较活跃的压缩文件归档格式，最初.ACE格式使用率高于.RAR但后来被.RAR格式反超。

同时ACE格式也是专有的即没有开源或者是免费提供等，如果想要打包ACE格式只能使用开发商提供的软件。

不过开发商允许其他软件调用软件库提取ACE格式的文档，即第三方软件可以打开ACE文档但不能修改压缩。

也正是如此多数压缩管理器为兼容ACE格式的文档会内置其软件库，被安全公司发现漏洞的正是这个软件库。

开启UAC账户控制还是很重要的：

据奇虎360 威胁情报中心透露目前已经拦截到携带恶意代码的压缩文件，这个文件正是利用ACE软件库漏洞。

这个恶意文件利用钓鱼邮件进行传播， 但在进行漏洞利用时需要获得管理员权限所以会弹出 UAC 账户控制。

只要用户没有点确定给予其管理员权限则对应的代码无法运行，若给予权限则将恶意软件设置计划启动任务。

当用户下次启动电脑时恶意软件实现开机自启动，然后连接到攻击者的服务器下载各种渗透工具和广告软件。

谷歌VirusTotal在线扫描显示目前部分安全软件已经可以拦截此病毒，不过多数的杀毒软件尚无法对其拦截。

简单粗暴的应对方法：

不论你使用的是什么压缩管理器都可以直接打开安装目录，然后将其中UNACEV2.DLL软件库彻底删除即可。

理论上只要删除这个软件库即便有通过ACE文档进行攻击也无法利用漏洞，这种处理方式可以快速解决问题。

目前诸如WinRAR在内的部分压缩管理器已经开始发布新版本，其实新版本也就是直接删除UNACEV2.DLL。

这个软件库已经19年没更新同时也没人继续维护，这次安全事件后估计 ACE 专有格式也被加速从市场清除。