解凍だけでウイルス感染! Lhaplus 1.74脆弱性の対処法2つ UNACEV2.dll CVE-2018-20250

有名な圧縮アーカイブ解凍ソフト Lhaplus バージョン1.74 にはace書庫ファイルを扱う処理UNACEV2.DLLにセキュリティの欠陥 CVE-2018-20250 があります。脆弱性を悪用したウイルス感染攻撃を回避させる対処方法を紹介します。

シェアウェアの圧縮アーカイブソフト WinRAR

このプログラムに含まれているサードパーティー製ライブラリ UNACEV2.dll に脆弱性 CVE-2018-20250 が存在するぞ、という ニュースが2019年2月から報じられています

  • UNACEV2.dll とは何?
    マイナーな圧縮アーカイブ .ace 形式を展開する Windows プログラム
    ファイルのタイムスタンプ・作成日時が2005年8月 ← ものスゴい古い!
    MD5 de02c4d04088b69e64ecc30a3d9e22e5

  • UNACEV2.dll の開発者は誰?
    欧州ドイツ ACE Compression Software
    公式サイト winace.com は以前からアクセスできず消息不明
    ※ WinRAR の開発元 RARLab とはいっさい関係なし

WinRAR の開発元は、UNACEV2.dll の脆弱性そのものを修正できないということで、2019年2月28日リリースの バージョン5.70 において 「UNACEV2.dll のサポートを打ち切る」 ことで対処しました。

つまり、WinRAR の最新版をインストールすることで、脆弱性の問題はキッチリ解決です。

イメージ 2
WinRAR 更新履歴ファイル
脆弱性の修正ではなく、ファイル形式 .ace のサポートを打ち切る

WinRAR 公式サイト
> https://www.rarlab.com/download.htm


脆弱性を悪用したウイルス感染攻撃が!

この脆弱性を Windows パソコン上で悪用されると厄介です。

というのも、普段からやってる何ら変哲のないファイル操作でもって、ウイルス感染攻撃をモロに喰らってしまうからです。

圧縮ファイルを…
展開・解凍する
ダブルクリックして開く

そして、UNACEV2.dll の脆弱性の存在が明らかになってから、悪用したウイルス感染攻撃が始まりました。

  • 細工されてる不正な圧縮ファイルを…
    → Eメールに添付してバラ撒き、ユーザーに開いてもらう
    → ネット上に公開してダウンロードして開いてもらう

でも、ウチは WinRAR は使ってないから UNACEV2.dll の脆弱性なんて無関係だよ~ん。

そうではなく、問題の UNACEV2.dll を利用している 複数の Windows ソフトウェアで脆弱性の影響 があり、たとえば日本でも使われているであろうプログラムを挙げるとこんな感じです。

  • Explzh
    脆弱性に対処した バージョン7.74 以降へ更新する

  • BandiZip
    脆弱性に対処した バージョン6.21 以降へ更新する

  • ALZip
    日本でのユーザーサポートは終了している
    脆弱性のある UNACEV2.dll が含まれているものの攻撃処理はうまく動作せず?

  • Lhaplus
    → このブログ記事のテーマ UNACEV2.dll 脆弱性の影響あって注意

  • Lhaca 、+Lhaca 、7-Zip
    UNACEV2.dll の採用歴が存在しないので脆弱性の 影響なし

フリーソフト Lhaplus 1.74 で脆弱性の対処方法

日本発の有名なフリーソフト Lhaplus がまさに影響するプログラムです。

ブログ記事投稿2019年3月時点の 「 Lhaplus Version 1.74 [ 2017/05/03 ] 」 では、配布パッケージに UNACEV2.dll が含まれていて、問題が解決されていません。 <脆弱性の影響あり

Lhaplus 公式サイト
> http://www7a.biglobe.ne.jp/~schezo/

今すぐできる UNACEV2.DLL の脆弱性の対処方法は、次の2パターンのどちらです。

  1. やむを得ず Lhaplus を使えないようアンインストールする
    Windows 10Windows 7、Windows 8

    あるいは

  2. 問題の UNACEV2.dll ファイルだけ手動で削除する
    やり方を解説↓

Lhaplus を今後も継続して使用し、UNACEV2.dll ファイルだけ削除する方法は…

Windows エクスプローラー を起動する → Lhaplus 1.74 がインストールされてあるフォルダーへ移動する → UNACEV2.dll ファイルのみゴミ箱へポポイのポイッ!

イメージ 3
脆弱性が確認されてる UNACEV2.DLL 見っけ

【Lhaplus フォルダー】
C:\Program Files (x86)\Lhaplus
 または
C:\Program Files\Lhaplus


効果 0 な脆弱性の対処方法

上記以外で、↓次のような有効っぽく見える対処方法が思いつきそうだけど、実際には効果がないです。

  • Lhaplus で ace ファイルを展開・解凍しないよう気をつける?
    → 気をつける対象が ace ファイルだけとは限らないから効果なし

  • Lhaplus の設定画面で ace ファイルの関連付けをオフにする?
    → ace ファイルだけオフにしても他の形式で攻撃できるので効果なし

脆弱性の影響を回避するには、UNACEV2.dll を Lhaplus が利用できないようにすることがゼッタイ必須です。

Lhaplus 1.74 で圧縮ファイルを開いたら症状は?

手元の環境で、UNACEV2.dll の脆弱性を悪用する攻撃を普通に喰らってみましたー。

ポイントとして、細工されてる不正な圧縮ファイルは、何も拡張子が .ace である必要性はなく、それこそ拡張子が .rar .zip .lzh といったように何でも構わないところでしょう。

つまり、ファイルの見た目で危険かどうかを判別することは困難 です。

イメージ 4
不正な ace 圧縮ファイル

イメージ 5
ace 圧縮ファイル の先頭部分
意味深なファイルパスが見える?

↓ 展開・解凍 ↓

イメージ 6
無害なテキストファイルが出力された

いったい何か起こったのか? 症状は?

  • 目に見える異変や症状
    圧縮ファイルの中身であるテキストファイル(拡張子 .txt)が出力される

  • ユーザーに気づかれない裏側
    ”スタートアップ” フォルダーに 実行ファイル(拡張子 .exe) がコッソリ投下される

イメージ 7
Windows のスタートアップフォルダー
勝手に投下された実行ファイル見っけ!

この ”スタートアップ” フォルダーは、PC にログインするタイミングで自動的に実行されるアプリを配置できる場所です。

こうして、このコンピュータウイルスがその後に 勝手に 起動して、「知らないうちにウイルス感染していた」 という恐ろしいシチュエーションが実現されます。

【細工された ace 圧縮アーカイブの検出名】
Avira EXP/CVE-2018-20250.Gen
BitDefender Exploit.ACE-PathTraversal.Gen
ESET ACE/Exploit.CVE-2018-20250.A ACE/Exploit.CVE-2018-20250.B
Kaspersky Exploit.Win32.CVE-2018-20250 HEUR:Exploit.Win32.CVE-2018-20250.gen
McAfee Exploit-WinAce CVE2018-20250
Microsoft Exploit:Win32/Winace Exploit:Win32/CVE-2018-20250 Exploit:Win32/CVE-2018-20250.gen Exploit:O97M/CVE-2018-20250
Sophos Mal/ExpACE-A Mal/DrodAce-A
Symantec Exp.CVE-2018-20250
Trend Micro Trojan.Win32.CVE201820250.A Possible_SMCVE201820250