漏洞描述
就在前几天WinRAR被ZDI爆出高危漏洞,受害者一旦解压文件,那么它系统就会被感染。攻击者就可以远程执行任意代码,对应的电脑进行远程控制或者植入更多的恶意后门!如果你是使用的是WinRAR压缩软件并且不是最新版的,那么请务必升级。这个漏洞最终编号为这个CVE-2023-40477,CVSS评分为7.8分,总分是10分,分数越高代表的破坏力越大。
解决方案
目前有效的解决方案就是将WinRAR的版本升级到最新 (v6.23) ,如果你不知道电脑上的压缩软件版本号到底是多少,你可以打开WinRAR,然后依次点击:说明-->关于。我们就可以在里面看到这个具体的版本号了。因为我已经升级过了,所以这里显示为6.23。
如果你的WinRAR不是最新版本,可以去官网下载最新版。【www.rarlab.com/download.ht…】,注意第一个win-rar.com并不是官网而是他的代理网站,真正的官网是如图标注的那个。而且下载的时候有两个版本,一个是中文简体(simplified) 和中文繁体(traditional) ,我推荐下载繁体版本,因为简体版本有广告弹窗。
下载好之后就可以安装使用了。
自查电脑是否被感染
升级到最新版本之后我们还需要检查一下电脑是否被感染了,主要检查两个方面:是否存在恶意用户提权的问题、是否有被植入了恶意程序。
恶意用户提权
恶意用户提权就是我们电脑上莫名奇妙的出现了一些没有见过的用户或者一些普通用户(例如guest)被提权为admin。检查方法为点击此电脑-->管理-->本地用户和组-->用户。双击某个用户来查看用户的权限,如果发现admin权限应当立刻删除。
植入了恶意程序
如何查看我们的电脑是否被植入了恶意程序呢?因为电脑的远程连接非常多,我们不能像上面一样自己去排查,这个时候我们可以借助微软开发工具来查看电脑是否存在恶意的远程连接,工具名为TCPView。
TCPView 是一个 Windows 程序,它将向您显示系统上所有 TCP 和 UDP 端点的详细列表,包括本地和远程地址以及 TCP 连接的状态。在 Windows Server 2008、Vista 和 XP 上,TCPView 还报告拥有端点的进程的名称。
TCPView 的下载地址为【docs.microsoft.com/en-us/sysin…】
通过TCPView 我们就可以看到电脑的所有TCP/UDP连接了。
总之,大家在网上要注意安全,不要随意信任陌生人发送的信息。
