Hace poco se mostraba en un blog israelí una vulnerabilidad 0-day en la versión 4.20 de WinRAR (otras versiones podrían verse también afectadas) con la que es posible engañar muy fácilmente a un usuario para que ejecute por ejemplo... un troyano. Además es sumamente sencilla de explotar...
Para nuestra PoC empezaremos creando un simple vbs 'pruebas.vbs':
MsgBox("PWNED! jajaj")
y lo comprimiremos creando el fichero 'pruebas.zip':
Cuando tratamos de comprimir el archivo en "formato ZIP" con WinRAR, la estructura de archivos es la estándar pero WinRAR añade varias propiedades adicionales, como un segundo nombre de archivo:
¿Qué pasa si modificamos ese nombre con nuestro editor hexadecimal por algo más "sugerente" como 'tetazas.jpg'?:
Veamos el resultado:
Al abrir el fichero comprimido nos muestra aparentemente una imagen, pero al hacer doble clic en ella se ejecutará nuestro script, es decir, hemos falsificado el nombre y la extensión del fichero comprimido ... con lo que todo ello supone...
Portaros bien!
Para nuestra PoC empezaremos creando un simple vbs 'pruebas.vbs':
MsgBox("PWNED! jajaj")
y lo comprimiremos creando el fichero 'pruebas.zip':
Cuando tratamos de comprimir el archivo en "formato ZIP" con WinRAR, la estructura de archivos es la estándar pero WinRAR añade varias propiedades adicionales, como un segundo nombre de archivo:
¿Qué pasa si modificamos ese nombre con nuestro editor hexadecimal por algo más "sugerente" como 'tetazas.jpg'?:
Veamos el resultado:
Al abrir el fichero comprimido nos muestra aparentemente una imagen, pero al hacer doble clic en ella se ejecutará nuestro script, es decir, hemos falsificado el nombre y la extensión del fichero comprimido ... con lo que todo ello supone...
Portaros bien!
joder con el Winrar!
ResponderEliminarLo probe con WinRar 5.01 español y sirve
ResponderEliminar:o !!
ResponderEliminar¿En que se diferencia esto de renombrar el fichero antes de añadirlo al zip?
ResponderEliminarpruébalo XD, si lo renombras por ejemplo a un jpg intentará abrise con un visualizador de imágenes y no se ejecutará...
EliminarComo se podría detectar si es el archivo original o se trata de un Script ???
ResponderEliminarlo ideal es descomprimirlo en vez de ejecutarlo directamente desde el WinRAR... al hacerlo ni siquiera será necesario pasarle un multiAV porque veras directamente el fichero original pruebas.vbs...
EliminarPues con Winrar 5.00 x64 en windows 7 no parece funcionar, abre el visualizador de imagenes con el error consiguiente.
EliminarQué editor hexadecimal usáis?
Yo HxD, aunque creo que debería ser indiferente
EliminarUtilice la versión 5.01 y no funcionó, pero leo que aquí han dicho que si; lo que me hace suponer que el problema no está en Winrar en si, sino en otro lado.
ResponderEliminarEn mi caso, yo utilizo como visualizador de gráficos predeterminados el FastStone (viewer free) y no funciona, me muestra la pantalla en negro ya que no comprende el formato.
Creo que hay que investigar un poco mas :D
By(t)es!
Floyd
Yo de nuevo, probé con la versión 4.20 bajado de la pagina de winrar (http://www.rarlab.com/rar/wrar420.exe) y funciona.
ResponderEliminarNo probé con otras versiones
By(t)es!
Floyd
entonces si es por la versión de WinRAR por qué le funcionó al primer anónimo la 5.01? lo probaste en la versión en español o en inglés?
EliminarA mí tampoco me ha funcionado en la última versión de Winrar 5.01 ni en 64 ni en 32 bits de windows 7 ...
ResponderEliminarSoy el Anon de arriba :P
ResponderEliminarSegún parece el fallo fue corregido en la version 5.0 según las pruebas que he realizado (utilizando oldapp para descargarme las versiones antiguas).
Que bueno saberlo. Muchas gracias!
EliminarSe puede ver la contraseña con el editor hexadecimal?
ResponderEliminarHoy toca update :(
ResponderEliminarLas versiones afectadas son la 4.11 y la 4.20 (Probe en 32 Bits). Las versiones 5.00 y 5.01 no se ven afectadas.
ResponderEliminarNo me resulto probé de varias formas, uso el mismo editor y la misma versión de winrar la diferencia esta en que monte una VM con XP, quizás sea como el sistema tome la el contenido del zip y lo lance
ResponderEliminara mí si me funciono con la 4.20... }:))))
ResponderEliminarMe encanta probar estas cosas :))),
ResponderEliminarLo probé en la versión 4.01 de winrar y no funciona...
ResponderEliminarBuenas tardes, lo probé en la version 4.20 64 bits y me lanza un mensaje de error inesperado al abrir el archivo comprimido, sin embargo, aun con eso, si le doy doble click al archivo comprimido si se lanza el script, esas son mis conclusiones,
ResponderEliminarSaludos
Esto no es nada nuevo. Ya lo había mostrado alguna vez @hecky hace uno o dos años para ocultar archivos en el RAR.
ResponderEliminarbuenas tardes lo probe version 5.01 español los pasos son exactos pero ala hora de ejutar me abre el visualizasion de windos 7 el error lo corriguiero eso es bueno pero aquie mexico en el 70 % de la jente usa la version 3.5 o la version 4 me imaguino que se les ase cansado estar actualizasando pero ya ven estos son los problemas sigue subiendo tutoriales asi adios
ResponderEliminarBuenas tardes,
ResponderEliminarEn la versión WinRAR 3.80 + Windows 7 x64 Sp1 tampoco funciona, abre el visualizador de imágenes.
Saludos.
PARA los que no le salen bien miren bien solo modifiquen el segundo nombre no el primero ya que si nno le estaran indicando que lo abra con el visualizador
ResponderEliminar