Lhaplus 1.74脆弱性の解決術2つでウイルス対策 UNACEV2.dll CVE-2018-20250

圧縮アーカイブ解凍ソフト Lhaplus バージョン1.74 にace書庫ファイルを扱う脆弱性UNACEV2.DLLにセキュリティ欠陥 CVE-2018-20250。悪用するウイルス感染攻撃を防いで脆弱性を解決するぐ対処方法。

日本で使われているフリーソフトで影響あり!

シェアウェアの圧縮アーカイブソフト WinRAR に同封されているサードパーティー製ライブラリ UNACEV2.dll に脆弱性 (CVE-2018-20250) が存在するぞ、という セキュリティニュースが2019年2月から報じられています

  • UNACEV2.dll とは何?
    マイナーな圧縮アーカイブ .ace ファイルを展開するプログラム
    ファイルのタイムスタンプの作成日時は何と 2005 年 ← ものスゴい古い!
    MD5 de02c4d04088b69e64ecc30a3d9e22e5

  • UNACEV2.dll の開発者は誰?
    欧州ドイツ ACE Compression Software
    公式サイト winace.com は以前からアクセスできず消息不明
    WinRAR の開発元 RARLab とは無関係

WinRAR の開発元は、UNACEV2.dll そのものの脆弱性を修正できません。

そのため、2019 年 2 月リリースの バージョン 5.70 で 「UNACEV2.dll を処理する機能を撤去する」 というバッサリ排除で脆弱性を解消しました。 <WinRAR で脆弱性の問題は最新版のインストールで解決

イメージ 2
WinRAR 更新履歴ファイル
脆弱性の修正ではなく、ファイル形式 .ace の対応を打ち切る

WinRAR 公式サイト
> https://www.rarlab.com/


脆弱性を悪用したウイルス感染攻撃が!

この脆弱性 (CVE-2018-20250) を Windows パソコン上で悪用されると厄介です。

というのも、普段からやってる何の変哲もないファイル操作でもって、ウイルス感染攻撃をモロに喰らうからです。

圧縮ファイルを…
展開・解凍する
ダブルクリックして開く

そして、UNACEV2.dll の脆弱性の存在が明らかになってから、悪用したウイルス感染攻撃が始まっています。

  • 細工されてる不正な圧縮ファイルを…
    → Eメールに添付してバラ撒き、添付ファイルを開いてもらう
    → ネット上に公開して、ダウンロードしたファイルを開いてもらう

中には WinRAR は使っておらず UNACEV2.dll の脆弱性は無関係よ~ん、と思っていませんか?

そうではなく、問題の UNACEV2.dll を利用している複数の Windows ソフトウェアで脆弱性の影響 があります。

  • Explzh
    影響あり
    → 脆弱性に対処した バージョン 7.74 以降へ更新で解決

  • BandiZip
    影響あり
    → 脆弱性に対処した バージョン 6.21 以降へ更新で解決

  • ALZip
    日本でのユーザーサポートは終了している模様
    (脆弱性のある UNACEV2.dll が含まれている → 攻撃処理はうまく動かない?)

  • Lhaplus
    影響あり
    → このブログ記事のテーマ UNACEV2.dll が含まれていてヤバい!

  • Lhaca 、+Lhaca 、7-Zip、Windows 標準機能
    影響なし
    → UNACEV2.dll を採用した実績がない

フリーソフト Lhaplus 1.74 で脆弱性の解決方法

日本発の有名なフリーソフト Lhaplus は、まさに脆弱性の影響を受けるプログラムです。

ブログ記事の投稿 2019 年 3 月時点で入手できる 「 Lhaplus Version 1.74 [ 2017/05/03 ] 」 は、配布パッケージ内に UNACEV2.dll が含れています。

Lhaplus 公式サイト
> http://www7a.biglobe.ne.jp/~schezo/

今すぐできる UNACEV2.DLL の脆弱性の対処方法は、次の 2 つのどちらです。

  1. やむを得ず Lhaplus を使えないようアンインストールする
    Windows 10Windows 7、Windows 8

    あるいは

  2. 脆弱性のある UNACEV2.dll ファイルを手動で削除する
    やり方を解説↓

今後も Lhaplus を継続して使い、UNACEV2.dll ファイルだけ削除する方法がコチラ♪

Windows エクスプローラー を起動する → Lhaplus 1.74 がインストールされてあるフォルダーへ移動する → UNACEV2.dll ファイルをゴミ箱へポイポイのポイッ!

イメージ 3
脆弱性が確認されてる UNACEV2.DLL 見っけ

【Lhaplus フォルダー】
C:\Program Files (x86)\Lhaplus
 または
C:\Program Files\Lhaplus

UNACEV2.dll ファイルのみを削除しても Lhaplus は問題なく使えてデメリット皆無です。


効果ない脆弱性の解決方法

この他に、次のような対処方法が思いつくかもしれないけど 効果がありません

  • Lhaplus で ace ファイルを扱わないよう注意を払う?
    → 注意スべき対象が ace ファイルだけではないので効果 0

  • Lhaplus の設定画面で ace ファイルの関連付けをオフにする?
    → 他の形式で攻撃できるので ace ファイルだけオフにして意味がなく効果 0

脆弱性の影響を回避するポイントとして、Lhaplus が UNACEV2.dll を読み込めない ようにすることが重要です。

Lhaplus 1.74 で圧縮ファイルを開いたら症状は?

手元の環境で、UNACEV2.dll の脆弱性を悪用する攻撃を普通に喰らってみました。

忘れてはいけない重大事項として、何も細工されてる不正な圧縮ファイルは、拡張子が .ace である必要性はなく、それこそ.rar や .zip でも攻撃できる事実です。 <ファイルの見た目で危険性を判別できない

イメージ 4
不正な ace 圧縮ファイル
拡張子は .ace ではなく .rar

イメージ 5
ace 圧縮ファイル の先頭部分
意味深なファイルパスが見える?

↓展開・解凍↓

イメージ 6
無害なテキストファイルが出力された

いったい何か起こったのか? 症状は?

  • 目に見えて分かる状況
    圧縮ファイルの中身であるテキストファイル (拡張子 .txt) が出力される

  • ユーザーに気づかれない裏側の異変
    「スタートアップ」 フォルダーに 実行ファイル (拡張子 .exe) がコッソリ投下されていた

イメージ 7
Windows のスタートアップフォルダー
勝手に投下された実行ファイル見っけ!

この 「スタートアップ」 フォルダーは、パソコンにログインするタイミングで 自動的に実行されるアプリ を配置できる場所なので、このコンピュータウイルスはその後に 勝手に 起動することになります。 <知らないうちにウイルス感染が現実に

【細工された ace 圧縮アーカイブの検出名】
Avira EXP/CVE-2018-20250.Gen
BitDefender Exploit.ACE-PathTraversal.Gen
ESET ACE/Exploit.CVE-2018-20250.A ACE/Exploit.CVE-2018-20250.B
Kaspersky Exploit.Win32.CVE-2018-20250 HEUR:Exploit.Win32.CVE-2018-20250.gen
McAfee Exploit-WinAce CVE2018-20250
Microsoft Exploit:Win32/Winace Exploit:Win32/CVE-2018-20250 Exploit:Win32/CVE-2018-20250.gen Exploit:O97M/CVE-2018-20250
Sophos Mal/ExpACE-A Mal/DrodAce-A
Symantec Exp.CVE-2018-20250
Trend Micro Trojan.Win32.CVE201820250.A Possible_SMCVE201820250