Discussione Winrar 4.20 exploit - social engineering package & full extension spoofing

wesker1998

Utente Electrum
17 Gennaio 2022
131
43
80
124
Una vulnerabilità persiste nella versione 4.20 di Winrar, questa vulnerabilità consente di editare il codice sorgente dell'archivio, e iniettarvi del codice arbitrario. Se il codice arbitrario viene iniettato correttamente, risulterà la creazione di un archivio che si comporta come di consueto, ma eseguirà i comandi dell'autore dell'attacco in background.

Step 1: Installa Hex: Editor NEO
Step 2: Crea un archivio ed inseriscici un file arbitrario
Step 3: Apri l'Editor, e poi dall'Editor apri l'archivio per visionarne il codice;
Step 4: Assumendo di aver compresso un file con l'estensione .pdf, dirigersi nella parte finale del codice e potrete trovare l'istanza del file che dobbiamo modificare;
Step 5: Cambiare l'estensione del file da ".pdf" a ".doc", salva tutto e chiudi l'Editor.

Tornando a visualizzare l'archivio, cliccandoci dentro noteremo che il file all'interno sembra un file ".doc" in piena regola. Tuttavia quando viene estratto torna ad essere un ."pdf"
Nessun AV è in grado di rilevare l'inghippo. L'artefatto finale è full stealth, e quest'exploit è full undetected dalla data di scoperta, 24 marzo 2014, sebbene sia ormai ben noto. Nessuna casa produttrice di AV intende e intenderà mai prendere provvedimenti contro quest'exploit, perché assumono che gli utenti siano in grado di accorgersi che c'è qualcosa di strano.

Referenze:
 
  • Mi piace
  • Incredibile
Reazioni: xCrystals e 0xbro

wesker1998

Utente Electrum
17 Gennaio 2022
131
43
80
124
Un sacco di assunzioni sono state fatte intorno a quest'exploit, fra queste il fatto che è possibile accorgersi dell'inganno (se si sta attenti) e l'altra è che l'exploit è relegato esclusivamente alla versione 4.20 del programma (ormai non più utilizzata)

Anche qualora venisse rilevato, basta cambiare 1 byte del codice sorgente (senza rompere la logica delle istruzioni) e ritorni a full bypass, perché la detection è basata sulla static analysis e non sul behavior pattern. Almeno per quanto concerne i test che ho fatto su Avast e WD. Na goduria