Falsificación de extensiones de ficheros en WinRAR (0-day)


Publicación interesante de Hackplays que puede ver aquí:

Hace poco se mostraba en un blog israelí una vulnerabilidad 0-day en la versión 4.20 de WinRAR (otras versiones podrían verse también afectadas) con la que es posible engañar muy fácilmente a un usuario para que ejecute por ejemplo… un troyano. Además es sumamente sencilla de explotar…

Para nuestra PoC empezaremos creando un simple vbs ‘pruebas.vbs‘:

MsgBox(“PWNED! jajaj”)

y lo comprimiremos creando el fichero ‘pruebas.zip’:

Cuando tratamos de comprimir el archivo en “formato ZIP” con WinRAR, la estructura de archivos es la estándar pero WinRAR añade varias propiedades adicionales, como un segundo nombre de archivo:

¿Qué pasa si modificamos ese nombre con nuestro editor hexadecimal por algo más “sugerente” como ‘tetazas.jpg’?:

Veamos el resultado:

Al abrir el fichero comprimido nos muestra aparentemente una imagen, pero al hacer doble clic en ella se ejecutará nuestro script, es decir, hemos falsificado el nombre y la extensión del fichero comprimido … con lo que todo ello supone…

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s