ノートパソコン dynabook が 
8万円から♪Lhaplus 1.74脆弱性の解決術2つでウイルス対策 UNACEV2.dll CVE-2018-20250
日本で使われているフリーソフトで影響あり!
シェアウェアの圧縮アーカイブソフト WinRAR に同封されているサードパーティー製ライブラリ UNACEV2.dll に脆弱性 (CVE-2018-20250) が存在するぞ、という セキュリティニュースが2019年2月から報じられています。 
- UNACEV2.dll とは何?
マイナーな圧縮アーカイブ .ace ファイルを展開するプログラム
ファイルのタイムスタンプの作成日時は何と 2005 年 ← ものスゴい古い!
MD5 de02c4d04088b69e64ecc30a3d9e22e5
- UNACEV2.dll の開発者は誰?
欧州ドイツ ACE Compression Software
公式サイト winace.com は以前からアクセスできず消息不明
WinRAR の開発元 RARLab とは無関係
WinRAR の開発元は、UNACEV2.dll そのものの脆弱性を修正できません。
そのため、2019 年 2 月リリースの バージョン 5.70 で 「UNACEV2.dll を処理する機能を撤去する」 というバッサリ排除で脆弱性を解消しました。 
<WinRAR で脆弱性の問題は最新版のインストールで解決
<WinRAR で脆弱性の問題は最新版のインストールで解決
WinRAR 更新履歴ファイル
脆弱性の修正ではなく、ファイル形式 .ace の対応を打ち切る
WinRAR 公式サイト
> https://www.rarlab.com/
■ 脆弱性を悪用したウイルス感染攻撃が!
この脆弱性 (CVE-2018-20250) を Windows パソコン上で悪用されると厄介です。
というのも、普段からやってる何の変哲もないファイル操作でもって、ウイルス感染攻撃をモロに喰らうからです。 
圧縮ファイルを…
展開・解凍する
ダブルクリックして開く
展開・解凍する
ダブルクリックして開く
そして、UNACEV2.dll の脆弱性の存在が明らかになってから、悪用したウイルス感染攻撃が始まっています。 
- 細工されてる不正な圧縮ファイルを…
→ Eメールに添付してバラ撒き、添付ファイルを開いてもらう
→ ネット上に公開して、ダウンロードしたファイルを開いてもらう
中には WinRAR は使っておらず UNACEV2.dll の脆弱性は無関係よ~ん、と思っていませんか?
そうではなく、問題の UNACEV2.dll を利用している複数の Windows ソフトウェアで脆弱性の影響 があります。
- Explzh
影響あり
→ 脆弱性に対処した バージョン 7.74 以降へ更新で解決
- BandiZip
影響あり
→ 脆弱性に対処した バージョン 6.21 以降へ更新で解決 - ALZip
日本でのユーザーサポートは終了している模様
(脆弱性のある UNACEV2.dll が含まれている → 攻撃処理はうまく動かない?) - Lhaplus
影響あり
→ このブログ記事のテーマ UNACEV2.dll が含まれていてヤバい!
- Lhaca 、+Lhaca 、7-Zip、Windows 標準機能
影響なし
→ UNACEV2.dll を採用した実績がない
フリーソフト Lhaplus 1.74 で脆弱性の解決方法
日本発の有名なフリーソフト Lhaplus は、まさに脆弱性の影響を受けるプログラムです。
ブログ記事の投稿 2019 年 3 月時点で入手できる 「 Lhaplus Version 1.74 [ 2017/05/03 ] 」 は、配布パッケージ内に UNACEV2.dll が含れています。
Lhaplus 公式サイト
> http://www7a.biglobe.ne.jp/~schezo/
今すぐできる UNACEV2.DLL の脆弱性の対処方法は、次の 2 つのどちらです。 
- やむを得ず Lhaplus を使えないようアンインストールする
Windows 10、Windows 7、Windows 8
あるいは
- 脆弱性のある UNACEV2.dll ファイルを手動で削除する
やり方を解説↓
今後も Lhaplus を継続して使い、UNACEV2.dll ファイルだけ削除する方法がコチラ♪
Windows エクスプローラー を起動する → Lhaplus 1.74 がインストールされてあるフォルダーへ移動する → UNACEV2.dll ファイルをゴミ箱へポイポイのポイッ!
脆弱性が確認されてる UNACEV2.DLL 見っけ
【Lhaplus フォルダー】
C:\Program Files (x86)\Lhaplus
または
C:\Program Files\Lhaplus
UNACEV2.dll ファイルのみを削除しても Lhaplus は問題なく使えてデメリット皆無です。
■ 効果ない脆弱性の解決方法
この他に、次のような対処方法が思いつくかもしれないけど 効果がありません! 
- Lhaplus で ace ファイルを扱わないよう注意を払う?
→ 注意スべき対象が ace ファイルだけではないので効果 0
- Lhaplus の設定画面で ace ファイルの関連付けをオフにする?
→ 他の形式で攻撃できるので ace ファイルだけオフにして意味がなく効果 0
脆弱性の影響を回避するポイントとして、Lhaplus が UNACEV2.dll を読み込めない ようにすることが重要です。
Lhaplus 1.74 で圧縮ファイルを開いたら症状は?
手元の環境で、UNACEV2.dll の脆弱性を悪用する攻撃を普通に喰らってみました。 
忘れてはいけない重大事項として、何も細工されてる不正な圧縮ファイルは、拡張子が .ace である必要性はなく、それこそ.rar や .zip でも攻撃できる事実です。 
<ファイルの見た目で危険性を判別できない
<ファイルの見た目で危険性を判別できない
不正な ace 圧縮ファイル
(拡張子は .ace ではなく .rar)
ace 圧縮ファイル の先頭部分
意味深なファイルパスが見える?
↓展開・解凍↓
無害なテキストファイルが出力された
いったい何か起こったのか? 症状は?
- 目に見えて分かる状況
圧縮ファイルの中身であるテキストファイル (拡張子 .txt) が出力される
- ユーザーに気づかれない裏側の異変
「スタートアップ」 フォルダーに 実行ファイル (拡張子 .exe) がコッソリ投下されていた
Windows のスタートアップフォルダー
勝手に投下された実行ファイル見っけ!
この 「スタートアップ」 フォルダーは、パソコンにログインするタイミングで 自動的に実行されるアプリ を配置できる場所なので、このコンピュータウイルスはその後に 勝手に 起動することになります。 
<知らないうちにウイルス感染が現実に
<知らないうちにウイルス感染が現実に【細工された ace 圧縮アーカイブの検出名】
Avira EXP/CVE-2018-20250.Gen
BitDefender Exploit.ACE-PathTraversal.Gen
ESET ACE/Exploit.CVE-2018-20250.A ACE/Exploit.CVE-2018-20250.B
Kaspersky Exploit.Win32.CVE-2018-20250 HEUR:Exploit.Win32.CVE-2018-20250.gen
McAfee Exploit-WinAce CVE2018-20250
Microsoft Exploit:Win32/Winace Exploit:Win32/CVE-2018-20250 Exploit:Win32/CVE-2018-20250.gen Exploit:O97M/CVE-2018-20250
Sophos Mal/ExpACE-A Mal/DrodAce-A
Symantec Exp.CVE-2018-20250
Trend Micro Trojan.Win32.CVE201820250.A Possible_SMCVE201820250
