Falsificación de extensiones de ficheros en WinRAR (0-day)

Hace poco se mostraba en un blog israelí una vulnerabilidad 0-day en la versión 4.20 de WinRAR (otras versiones podrían verse también afectadas) con la que es posible engañar muy fácilmente a un usuario para que ejecute por ejemplo... un troyano. Además es sumamente sencilla de explotar...

Para nuestra PoC empezaremos creando un simple vbs 'pruebas.vbs':


MsgBox("PWNED! jajaj")

y lo comprimiremos creando el fichero 'pruebas.zip':

 
Cuando tratamos de comprimir el archivo en "formato ZIP" con WinRAR, la estructura de archivos es la estándar pero WinRAR añade varias propiedades adicionales, como un segundo nombre de archivo:



¿Qué pasa si modificamos ese nombre con nuestro editor hexadecimal por algo más "sugerente" como 'tetazas.jpg'?:



Veamos el resultado:



Al abrir el fichero comprimido nos muestra aparentemente una imagen, pero al hacer doble clic en ella se ejecutará nuestro script, es decir, hemos falsificado el nombre y la extensión del fichero comprimido ... con lo que todo ello supone...

Portaros bien!

27 comentarios :

  1. Lo probe con WinRar 5.01 español y sirve

    ResponderEliminar
  2. ¿En que se diferencia esto de renombrar el fichero antes de añadirlo al zip?

    ResponderEliminar
    Respuestas
    1. pruébalo XD, si lo renombras por ejemplo a un jpg intentará abrise con un visualizador de imágenes y no se ejecutará...

      Eliminar
  3. Como se podría detectar si es el archivo original o se trata de un Script ???

    ResponderEliminar
    Respuestas
    1. lo ideal es descomprimirlo en vez de ejecutarlo directamente desde el WinRAR... al hacerlo ni siquiera será necesario pasarle un multiAV porque veras directamente el fichero original pruebas.vbs...

      Eliminar
    2. Pues con Winrar 5.00 x64 en windows 7 no parece funcionar, abre el visualizador de imagenes con el error consiguiente.
      Qué editor hexadecimal usáis?

      Eliminar
    3. Yo HxD, aunque creo que debería ser indiferente

      Eliminar
  4. Utilice la versión 5.01 y no funcionó, pero leo que aquí han dicho que si; lo que me hace suponer que el problema no está en Winrar en si, sino en otro lado.
    En mi caso, yo utilizo como visualizador de gráficos predeterminados el FastStone (viewer free) y no funciona, me muestra la pantalla en negro ya que no comprende el formato.
    Creo que hay que investigar un poco mas :D

    By(t)es!
    Floyd

    ResponderEliminar
  5. Yo de nuevo, probé con la versión 4.20 bajado de la pagina de winrar (http://www.rarlab.com/rar/wrar420.exe) y funciona.
    No probé con otras versiones

    By(t)es!
    Floyd

    ResponderEliminar
    Respuestas
    1. entonces si es por la versión de WinRAR por qué le funcionó al primer anónimo la 5.01? lo probaste en la versión en español o en inglés?

      Eliminar
  6. A mí tampoco me ha funcionado en la última versión de Winrar 5.01 ni en 64 ni en 32 bits de windows 7 ...

    ResponderEliminar
  7. Soy el Anon de arriba :P

    Según parece el fallo fue corregido en la version 5.0 según las pruebas que he realizado (utilizando oldapp para descargarme las versiones antiguas).

    ResponderEliminar
  8. Se puede ver la contraseña con el editor hexadecimal?

    ResponderEliminar
  9. Las versiones afectadas son la 4.11 y la 4.20 (Probe en 32 Bits). Las versiones 5.00 y 5.01 no se ven afectadas.

    ResponderEliminar
  10. No me resulto probé de varias formas, uso el mismo editor y la misma versión de winrar la diferencia esta en que monte una VM con XP, quizás sea como el sistema tome la el contenido del zip y lo lance

    ResponderEliminar
  11. a mí si me funciono con la 4.20... }:))))

    ResponderEliminar
  12. Lo probé en la versión 4.01 de winrar y no funciona...

    ResponderEliminar
  13. Buenas tardes, lo probé en la version 4.20 64 bits y me lanza un mensaje de error inesperado al abrir el archivo comprimido, sin embargo, aun con eso, si le doy doble click al archivo comprimido si se lanza el script, esas son mis conclusiones,

    Saludos

    ResponderEliminar
  14. Esto no es nada nuevo. Ya lo había mostrado alguna vez @hecky hace uno o dos años para ocultar archivos en el RAR.

    ResponderEliminar
  15. buenas tardes lo probe version 5.01 español los pasos son exactos pero ala hora de ejutar me abre el visualizasion de windos 7 el error lo corriguiero eso es bueno pero aquie mexico en el 70 % de la jente usa la version 3.5 o la version 4 me imaguino que se les ase cansado estar actualizasando pero ya ven estos son los problemas sigue subiendo tutoriales asi adios

    ResponderEliminar
  16. Buenas tardes,

    En la versión WinRAR 3.80 + Windows 7 x64 Sp1 tampoco funciona, abre el visualizador de imágenes.

    Saludos.

    ResponderEliminar
  17. PARA los que no le salen bien miren bien solo modifiquen el segundo nombre no el primero ya que si nno le estaran indicando que lo abra con el visualizador

    ResponderEliminar