Falsificación de extensiones winrar

Publicado Por Unknown // 21:00 // 26 mar 2014





Hace poco se mostraba en un blog israelí una vulnerabilidad 0-day en la versión 4.20 de WinRAR (otras versiones podrían verse también afectadas) con la que es posible engañar muy fácilmente a un usuario para que ejecute por ejemplo... un troyano. Además es sumamente sencilla de explotar...

 Para nuestra PoC empezaremos creando un simple vbs 'pruebas.vbs':

 MsgBox("PWNED! jajaj")

 y lo comprimiremos creando el fichero 'pruebas.zip':



Cuando tratamos de comprimir el archivo en "formato ZIP" con WinRAR, la estructura de archivos es la estándar pero WinRAR añade varias propiedades adicionales, como un segundo nombre de archivo:



¿Qué pasa si modificamos ese nombre con nuestro editor hexadecimal por algo más "sugerente" como 'tetazas.jpg'?:



Veamos el resultado:



Al abrir el fichero comprimido nos muestra aparentemente una imagen, pero al hacer doble clic en ella se ejecutará nuestro script, es decir, hemos falsificado el nombre y la extensión del fichero comprimido ... con lo que todo ello supone...


Fuente:
Vicente Motos.
http://an7isec.blogspot.co.il/
Etiquetas: