【漏洞通告】RARLAB WinRAR代码执行漏洞（CVE-2023-38831）

WinRAR 是一款使用广泛、功能强大的压缩文件管理工具。该软件可用于备份数据，缩减电子邮件附件的大小，解压缩从 Internet 上下载的RAR、ZIP及其它类型文件，并且可以创建 RAR 及 ZIP 格式的压缩文件。

8月24日，启明星辰VSRC监测到RARLAB WinRAR中存在一个代码执行漏洞（CVE-2023-38831）。该漏洞已发现被利用，以传播各种恶意软件系列，如DarkMe、GuLoader 和Remcos RAT，目前利用详情已经公开披露。

WinRAR版本6.23之前存在可欺骗文件扩展名的漏洞，可利用该漏洞创建恶意RAR或ZIP存档，这些存档中显示看似无害的诱饵文件，例如 JPG (.jpg) 图像文件、文本文件 (.txt) 或 PDF文档 (.pdf)等文件，以及与文件同名的文件夹（包括文件扩展名），当用户打开这些文件时，将执行文件夹中的恶意脚本，导致在设备上安装恶意软件。

二、影响范围

RARLAB WinRAR 版本 < 6.23

三、安全措施

3.1 升级版本

目前该漏洞已经修复，受影响用户可升级到RARLAB WinRAR 最新版本6.23。

下载链接：

https://www.win-rar.com/start.html

3.2 临时措施

对不受信任文件保持警惕，不随意打开和运行。

打开或运行未知文件之前可先使用防病毒工具进行扫描。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/

https://www.bleepingcomputer.com/news/security/winrar-zero-day-exploited-since-april-to-hack-trading-accounts/