解凍だけでウイルス感染 Lhaplus 1.74脆弱性の対処2つ UNACEV2.dll CVE-2018-20250

有名な圧縮アーカイブ解凍ソフト Lhaplus バージョン1.74 にはace書庫ファイルを扱う処理UNACEV2.DLLにセキュリティの欠陥 CVE-2018-20250 があります。脆弱性を悪用したウイルス感染攻撃を回避させる対処方法を紹介します。

シェアウェアの圧縮アーカイブソフト WinRAR

このプログラムに含まれているサードパーティー製ライブラリ UNACEV2.dll に脆弱性 CVE-2018-20250 が存在するぞ、という ニュースが2019年2月から報じられています

  • UNACEV2.dll とは何?
    マイナーな圧縮アーカイブ .ace 形式を展開するプログラム
    ファイルのタイムスタンプを見ると作成日時が 2005 年 ← ものスゴい古い!
    MD5 de02c4d04088b69e64ecc30a3d9e22e5

  • UNACEV2.dll の開発者は誰?
    欧州ドイツ ACE Compression Software
    公式サイト winace.com は以前からアクセスできないため消息不明
    WinRAR の開発元 RARLab とは無関係

WinRAR の開発元は、UNACEV2.dll の脆弱性そのものを修正できないため、2019 年 2 月リリースの バージョン 5.70 で 「WinRAR は UNACEV2.dll のサポートを打ち切る」 というバッサリ排除で対処しました。

つまり、WinRAR は最新版をインストールすることで、脆弱性の問題はキッチリ解決です。

イメージ 2
WinRAR 更新履歴ファイル
脆弱性の修正ではなく、ファイル形式 .ace のサポートを打ち切る

WinRAR 公式サイト
> https://www.rarlab.com/download.htm


脆弱性を悪用したウイルス感染攻撃が!

この脆弱性を Windows パソコン上で悪用されると厄介です。

というのも、普段からやってる何の変哲もないファイル操作でもって、ウイルス感染攻撃をモロに喰らうからです。

圧縮ファイルを…
展開・解凍する
ダブルクリックして開く

そして、UNACEV2.dll の脆弱性の存在が明らかになってから、悪用したウイルス感染攻撃が始まりました。

  • 細工されてる不正な圧縮ファイルを…
    → Eメールに添付してバラ撒き、ユーザーに開いてもらう
    → ネット上に公開してダウンロードして開いてもらう

でも、ウチは WinRAR は使ってないから UNACEV2.dll の脆弱性なんて無関係だよ~ん。

そうではなく、問題の UNACEV2.dll を利用している 複数の Windows ソフトウェアで脆弱性の影響 があり、たとえば日本でも使われているかもしれない実例を挙げるとこんな感じです。

  • Explzh
    影響あり
    → 脆弱性に対処した バージョン 7.74 以降へ更新することで解決

  • BandiZip
    影響あり
    → 脆弱性に対処した バージョン 6.21 以降へ更新することで解決

  • ALZip
    日本でのユーザーサポートが終了している模様
    (脆弱性のある UNACEV2.dll が含まれている → 攻撃処理はうまく動作せず?)

  • Lhaplus
    影響あり
    → このブログ記事のテーマ UNACEV2.dll が含まれている

  • Lhaca 、+Lhaca 、7-Zip
    影響なし
    → UNACEV2.dll を採用した実績がない

フリーソフト Lhaplus 1.74 で脆弱性の解決方法

日本発の有名なフリーソフト Lhaplus がまさに影響するプログラムです。

ブログ記事投稿 2019 年 3 月時点の 「 Lhaplus Version 1.74 [ 2017/05/03 ] 」 では、配布パッケージに UNACEV2.dll が含まれています。

つまり、問題が解決されていません。 <脆弱性の影響あり

Lhaplus 公式サイト
> http://www7a.biglobe.ne.jp/~schezo/

今すぐできる UNACEV2.DLL の脆弱性の対処方法は、次の 2 パターンのどちらです。

  1. やむを得ず Lhaplus を使えないようアンインストールする
    Windows 10Windows 7、Windows 8

    あるいは

  2. 問題の UNACEV2.dll ファイルだけ手動で削除する
    やり方を解説↓

Lhaplus を今後も継続で使用し、UNACEV2.dll ファイルだけ削除する方法は…

Windows エクスプローラー を起動する → Lhaplus 1.74 がインストールされてあるフォルダーへ移動する → UNACEV2.dll ファイルをゴミ箱へポイポイのポイッ!

イメージ 3
脆弱性が確認されてる UNACEV2.DLL 見っけ

【Lhaplus フォルダー】
C:\Program Files (x86)\Lhaplus
 または
C:\Program Files\Lhaplus


効果ない脆弱性の解決方法

上記以外で、↓次のような有効そうに見える対処方法は 効果がない です。

  • Lhaplus で ace ファイルを展開・解凍しないよう注意を払う?
    → 気をつける対象が ace ファイルだけとは限らないため効果 0

  • Lhaplus の設定画面で ace ファイルの関連付けをオフにする?
    → ace ファイルだけオフにしても他の形式で攻撃できるため効果 0

脆弱性の影響を回避するには、Lhaplus が UNACEV2.dll を読み込まないようにすることが必須です。

Lhaplus 1.74 で圧縮ファイルを開いたら症状は?

手元の環境で、UNACEV2.dll の脆弱性を悪用する攻撃を普通に喰らってみましたー。

ポイントとして、細工されてる不正な圧縮ファイルは、何も拡張子が .ace である必要性はなく、それこそ拡張子が .rar .zip のように何でも構わないところでしょう。

つまり、ファイルの見た目で危険かどうか判別することは困難 です。

イメージ 4
不正な ace 圧縮ファイル
拡張子が .rar なところがポイント

イメージ 5
ace 圧縮ファイル の先頭部分
意味深なファイルパスが見える?

↓ 展開・解凍 ↓

イメージ 6
無害なテキストファイルが出力された

いったい何か起こったのか? 症状は?

  • 目に見えて分かる状況
    圧縮ファイルの中身であるテキストファイル (拡張子 .txt) が出力される

  • ユーザーに気づかれない裏側
    ”スタートアップ” フォルダーに 実行ファイル (拡張子 .exe) がコッソリ投下されている

イメージ 7
Windows のスタートアップフォルダー
勝手に投下された実行ファイル見っけ!

この ”スタートアップ” フォルダーは、PC にログインするタイミングで自動的に実行されるアプリを配置できる場所です。

こうして、このコンピュータウイルスがその後に 勝手に 起動して、「知らないうちにウイルス感染していた」 という恐ろしいシチュエーションが実現されます。

【細工された ace 圧縮アーカイブの検出名】
Avira EXP/CVE-2018-20250.Gen
BitDefender Exploit.ACE-PathTraversal.Gen
ESET ACE/Exploit.CVE-2018-20250.A ACE/Exploit.CVE-2018-20250.B
Kaspersky Exploit.Win32.CVE-2018-20250 HEUR:Exploit.Win32.CVE-2018-20250.gen
McAfee Exploit-WinAce CVE2018-20250
Microsoft Exploit:Win32/Winace Exploit:Win32/CVE-2018-20250 Exploit:Win32/CVE-2018-20250.gen Exploit:O97M/CVE-2018-20250
Sophos Mal/ExpACE-A Mal/DrodAce-A
Symantec Exp.CVE-2018-20250
Trend Micro Trojan.Win32.CVE201820250.A Possible_SMCVE201820250
タグ :
Windows