Recientemente se ha descubierto una vulnerabilidad de día 0 (0-Day) en el famoso compresor de Windows, WinRar, que permite ejecutar código malicioso (en comprimidos de tipo ZIP) camuflándose como si fuese otro tipo de archivo. Este fallo de momento sólo afecta a la versión 4.20 de WinRar. La explotación de este fallo de seguridad es muy fácil de realizar.

WinRar guarda en un archivo ZIP dos nombres de archivo, el primero es el nombre que se usará al descomprimirlo y el segundo es el nombre que aparece en la interfaz gráfica de WinRar. Para explotar este fallo de seguridad tan solo debemos editar el archivo ZIP con un editor hexadecimal y cambiar el segundo nombre por algo como ‘imagen.jpg’ cuando en realidad el archivo original podría ser algo como ‘troyano.exe’.


Cabecera ZIP

Cabecera archivos ZIP Cabecera archivos ZIP

Prueba de concepto (PoC)

Vamos a crear un script de visual basic (.vbs) y dentro colocaremos este código:

MsgBox("SecurityNull has you!")

Luego lo comprimimos con WinRar 4.20 en formato ZIP.

Usamos un editor hexadecimal (por ejemplo WinHex) y abrimos el archivo ZIP recientemente creado, veremos algo así:

Edición hexadecimal - Archivo ZIP Edición hexadecimal – Archivo ZIP

Una vez editado quedara de esta forma:

Archivo ZIP Editado con editor hexadecimal Archivo ZIP Editado con editor hexadecimal

Guardamos los cambios del editor hexadecimal y abrimos el nuevo archivo ZIP, aparecerá algo así:

Archivo ZIP malicioso Archivo ZIP malicioso

Se podría utilizar este método para meter un script que descargue un troyano o directamente meter el troyano en el archivo ZIP.


Conclusión

Siempre debemos tener todos los programas del equipo actualizados a la última versión, de esta forma nos evitamos muchos de los fallos de seguridad que la aplicación pudiese tener en versiones anteriores, aunque esto no es siempre así.


FUENTES

www.an7isec.blogspot.co.il
blog.segu-info.com.ar