elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  WinRAR File Extension Spoofing vulnerability		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: WinRAR File Extension Spoofing vulnerability  (Leído 2,060 veces)
r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
WinRAR File Extension Spoofing vulnerability
« en: 29 Mayo 2014, 16:58 pm »
Hola, comentar sobre esta vulnerabilidad en Winrar, ingeniosa y fácil de llevar a cabo con éxito.
La primera referéncia la encuentro sobre marzo de 2014, supongo pueda ser un poco más antigua pero que se ha de tener en cuenta pues puede ser otro posible foco de infección.

Referéncias:

http://www.exploit-db.com/papers/32480/

http://an7isec.blogspot.co.il/2014_03_01_archive.html

http://intelcrawler.com/report_2603.pdf

http://www.youtube.com/watch?v=P5OAAoptv6E#t=11

http://thehackernews.com/2014/04/winrar-file-extension-spoofing.html


Curioso que en versiones anteriores no funcionaba, por ejemplo con la versión 3.7 podemos hacer la modificación al archivo con el editor hexadecimal, pero al intentar abrir el archivo lo ejecuta por la asociación de archivo por defecto del sistema, entonces nos da un error, ya sea con el reproductor de windows media si modificamos la extensión a .mp3, png u otro formato de archivo.

Versiones afectadas:

< v3.70: NO
v4.20: SI
v5.01: SI
v5.10(beta4): NO

A continuación se expone la forma de modificar el archivo, como posibles formas de ver el archivo sin llegarlo a ejecutar y de esta forma no infectarnos.
Para el PoC utilicé un ejecutable de SysInspector de ESET:



El fallo consiste en poder modificar el nombre mediante un editor, editando el último nombre del archivo. Abrimos el archivo comprimido con un editor hexadecimal:



Podemos usar el comando "buscar" o manualmente para localizar el segundo nombre dentro del código:



Modificamos la extensión de archivo a imagen tipo png o archivo de música mp3, en este caso elegí .mp3:





En las opciones de Winrar, podemos elegir mejor compresión, comentarios y el password necesario para pasar los antivirus.
Una vez creado el nuevo archivo comprimido modificado, le echamos un vistazo:



Modificaciones del archivo y resultado:



Viendo las propiedades del nuevo archivo modificado:



Propiedades del archivo desde el análisis en VirusTotal:



Aquí el error que comentaba si se dispone de una versión de Winrar < 4.20:



En esta captura podemos observar un .zip modificado enviados masivamente al correo (cortesía TheHackerNews):



Otra prueba que hice fue cojer un archivo infectado y alta tasa en VT (35/53) y realizar la modificación con extensión .mp3. Con un password débil este fue el resultado:

Musica.zip

SHA256:    5aa2e11777fe646dfadead0b3f492a690032f99bd7a460eb93c63ce044b79497
Nombre:    musica.zip
Detecciones:    2 / 53
https://www.virustotal.com/es/file/5aa2e11777fe646dfadead0b3f492a690032f99bd7a460eb93c63ce044b79497/analysis/1401131332/

Citar
NANO-Antivirus    Trojan.Script.Dinihou.cuefgi
Qihoo-360    virus.exp.20140401

Un password un poco más largo:

SHA256:    4d9e8cfd6f920d28ca7bdeb1d91b433de07279ecd7e8d8a34fe294343a9fd5f6
Nombre:    musica.zip
Detecciones:    1 / 53
https://www.virustotal.com/es/file/4d9e8cfd6f920d28ca7bdeb1d91b433de07279ecd7e8d8a34fe294343a9fd5f6/analysis/1401131956/

Citar
Qihoo-360    virus.exp.20140401

Otro claro ejemplo de que los antivirus no hacen bien su faena, cojemos un ejecutable limpio "SysInspector.exe" (Eset) y hacemos
la modificación al archivo (protegido con password), el resultado es este:

https://www.virustotal.com/es/file/026ca98e4e52c7296eb733a387eb22a1f17aba1757bc0bb48e468803b1385008/analysis/1401199917/ --> 1/53

La misma firma para un ejecutable limpio como para uno infectado:

Qihoo-360    virus.exp.20140401

Vería más lógico una descripción de firma tipo "Mod.ext.20140401", aunque nuca está demás ya sabiendo que el archivo ha sido modificado colocar esa alerta tipo "virus.exp.FECHA".

Ahora podremos ver un par de formas, para que cuando nos llegue un correo similar podamos ver sin llegar a infectarnos si se trata de una imagen real o se ha modificado.
Podemos hacer uso del mismo editor hexadecimal para ver su contenido y fijarnos en la cabecera del archivo:



Podemos ver como el inicio de la cabecera es típica de un ejecutable "MZ".
Para imagenes .bmp (BM)
Para imagenes .jpg (ÿØÿà..JFIF)

Mediante el mismo Winrar, desde el menú Commands --> View File, se nos abre un editor en ventana nueva, donde podemos ver en texto plano el código del archivo:



Otra forma es visualizar las Strings del archivo, también podmeos ver si se trata de una imagen o un ejecutable:



No se si el error será solucinable, de momento las últimas versiones están todas afectadas.

PD:
Comentar que solo funciona siempre y cuando creemos el archivo mediante Winrar cambiando la extensión a .zip antes de crear el archivo comprimido. Puedes hacer la prueba con extensión .rar y se dañará el archivo.

Saludos.
« Última modificación: 8 Junio 2014, 01:41 am por r32 » En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
SMF <= 1.1.rc3 Image File HTML Injection Vulnerability
Nivel Web 		AlbertoBSD 2 3,704 Último mensaje 5 Febrero 2008, 03:50 am
por AlbertoBSD
phpizabi file upload vulnerability, ayuda!!
Nivel Web 		kepa27 1 2,876 Último mensaje 12 Marzo 2008, 18:20 pm
por berz3k
Opencart 1.4.9.1 Remote File Upload Vulnerability
Nivel Web 		juh 4 5,886 Último mensaje 24 Septiembre 2010, 17:30 pm
por Darioxhcx
Extension spoofing C++, problema multibyte
Programación C/C++ 		Kaxperday 2 1,604 Último mensaje 20 Diciembre 2015, 12:23 pm
por Kaxperday
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines