|
Título: WinRAR File Extension Spoofing vulnerability Publicado por: r32 en 29 Mayo 2014, 16:58 pm Hola, comentar sobre esta vulnerabilidad en Winrar, ingeniosa y fácil de llevar a cabo con éxito.
La primera referéncia la encuentro sobre marzo de 2014, supongo pueda ser un poco más antigua pero que se ha de tener en cuenta pues puede ser otro posible foco de infección. Referéncias: http://www.exploit-db.com/papers/32480/ http://an7isec.blogspot.co.il/2014_03_01_archive.html http://intelcrawler.com/report_2603.pdf http://www.youtube.com/watch?v=P5OAAoptv6E#t=11 http://thehackernews.com/2014/04/winrar-file-extension-spoofing.html Curioso que en versiones anteriores no funcionaba, por ejemplo con la versión 3.7 podemos hacer la modificación al archivo con el editor hexadecimal, pero al intentar abrir el archivo lo ejecuta por la asociación de archivo por defecto del sistema, entonces nos da un error, ya sea con el reproductor de windows media si modificamos la extensión a .mp3, png u otro formato de archivo. Versiones afectadas: < v3.70: NO v4.20: SI v5.01: SI v5.10(beta4): NO A continuación se expone la forma de modificar el archivo, como posibles formas de ver el archivo sin llegarlo a ejecutar y de esta forma no infectarnos. Para el PoC utilicé un ejecutable de SysInspector de ESET: (http://i.elhacker.net/i?i=RGWFZSxC7wI7nbplyb-3N2Vo) El fallo consiste en poder modificar el nombre mediante un editor, editando el último nombre del archivo. Abrimos el archivo comprimido con un editor hexadecimal: (http://i.elhacker.net/i?i=FZ79FC36Tq_1IKPnFZQnW2Vo) Podemos usar el comando "buscar" o manualmente para localizar el segundo nombre dentro del código: (http://i.elhacker.net/i?i=vxuh8amyWjTCXOJNO-Ia42Vo) Modificamos la extensión de archivo a imagen tipo png o archivo de música mp3, en este caso elegí .mp3: (http://i.elhacker.net/i?i=ZOnQG0BTN-q4qQ-R0oDi2mVo) (http://i.elhacker.net/i?i=QHFumVEIYMwALYisegwVH2Vo) En las opciones de Winrar, podemos elegir mejor compresión, comentarios y el password necesario para pasar los antivirus. Una vez creado el nuevo archivo comprimido modificado, le echamos un vistazo: (http://i.elhacker.net/i?i=Ve6P3PIYVKA18xJwvU5an2Vo) Modificaciones del archivo y resultado: (http://i.elhacker.net/i?i=EpADKFC4tI1wSK0dTKCs7mVo) Viendo las propiedades del nuevo archivo modificado: (http://i.elhacker.net/i?i=pAaMMqb1tUpA2P-oJ5dhqGVo) (http://i.elhacker.net/i?i=PC424TE_25rz59Auu4wQW2Vo) Propiedades del archivo desde el análisis en VirusTotal: (http://i.elhacker.net/i?i=tJpfQiD6xwVkRpY8dtbG22Vo) Aquí el error que comentaba si se dispone de una versión de Winrar < 4.20: (http://i.elhacker.net/i?i=CwbmKyjn0BPKcb3CeEJKqmVo) En esta captura podemos observar un .zip modificado enviados masivamente al correo (cortesía TheHackerNews): (http://i.elhacker.net/i?i=Id1ycKTpkHopuXZEbbhyxWVo) Otra prueba que hice fue cojer un archivo infectado y alta tasa en VT (35/53) y realizar la modificación con extensión .mp3. Con un password débil este fue el resultado: Musica.zip SHA256: 5aa2e11777fe646dfadead0b3f492a690032f99bd7a460eb93c63ce044b79497 Nombre: musica.zip Detecciones: 2 / 53 https://www.virustotal.com/es/file/5aa2e11777fe646dfadead0b3f492a690032f99bd7a460eb93c63ce044b79497/analysis/1401131332/ Citar NANO-Antivirus Trojan.Script.Dinihou.cuefgi Qihoo-360 virus.exp.20140401 Un password un poco más largo: SHA256: 4d9e8cfd6f920d28ca7bdeb1d91b433de07279ecd7e8d8a34fe294343a9fd5f6 Nombre: musica.zip Detecciones: 1 / 53 https://www.virustotal.com/es/file/4d9e8cfd6f920d28ca7bdeb1d91b433de07279ecd7e8d8a34fe294343a9fd5f6/analysis/1401131956/ Citar Qihoo-360 virus.exp.20140401 Otro claro ejemplo de que los antivirus no hacen bien su faena, cojemos un ejecutable limpio "SysInspector.exe" (Eset) y hacemos la modificación al archivo (protegido con password), el resultado es este: https://www.virustotal.com/es/file/026ca98e4e52c7296eb733a387eb22a1f17aba1757bc0bb48e468803b1385008/analysis/1401199917/ --> 1/53 La misma firma para un ejecutable limpio como para uno infectado: Qihoo-360 virus.exp.20140401 Vería más lógico una descripción de firma tipo "Mod.ext.20140401", aunque nuca está demás ya sabiendo que el archivo ha sido modificado colocar esa alerta tipo "virus.exp.FECHA". Ahora podremos ver un par de formas, para que cuando nos llegue un correo similar podamos ver sin llegar a infectarnos si se trata de una imagen real o se ha modificado. Podemos hacer uso del mismo editor hexadecimal para ver su contenido y fijarnos en la cabecera del archivo: (http://i.elhacker.net/i?i=LtKLdwySxgJuvhsSoWSYqWVo) Podemos ver como el inicio de la cabecera es típica de un ejecutable "MZ". Para imagenes .bmp (BM) Para imagenes .jpg (ÿØÿà..JFIF) Mediante el mismo Winrar, desde el menú Commands --> View File, se nos abre un editor en ventana nueva, donde podemos ver en texto plano el código del archivo: (http://i.elhacker.net/i?i=hS9SVvw03SbleMMddVl7pWVo) Otra forma es visualizar las Strings del archivo, también podmeos ver si se trata de una imagen o un ejecutable: (http://i.elhacker.net/i?i=HJlk4T4ulx8DJPXWYpLC7GVo) (http://i.elhacker.net/i?i=wrUC1qfUagrTOaRvNouKlmVo) No se si el error será solucinable, de momento las últimas versiones están todas afectadas. PD: Comentar que solo funciona siempre y cuando creemos el archivo mediante Winrar cambiando la extensión a .zip antes de crear el archivo comprimido. Puedes hacer la prueba con extensión .rar y se dañará el archivo. Saludos. |