Una vulnerabilità persiste nella versione 4.20 di Winrar, questa vulnerabilità consente di editare il codice sorgente dell'archivio, e iniettarvi del codice arbitrario. Se il codice arbitrario viene iniettato correttamente, risulterà la creazione di un archivio che si comporta come di consueto, ma eseguirà i comandi dell'autore dell'attacco in background.
Step 1: Installa Hex: Editor NEO
Step 2: Crea un archivio ed inseriscici un file arbitrario
Step 3: Apri l'Editor, e poi dall'Editor apri l'archivio per visionarne il codice;
Step 4: Assumendo di aver compresso un file con l'estensione .pdf, dirigersi nella parte finale del codice e potrete trovare l'istanza del file che dobbiamo modificare;
Step 5: Cambiare l'estensione del file da ".pdf" a ".doc", salva tutto e chiudi l'Editor.
Tornando a visualizzare l'archivio, cliccandoci dentro noteremo che il file all'interno sembra un file ".doc" in piena regola. Tuttavia quando viene estratto torna ad essere un ."pdf"
Nessun AV è in grado di rilevare l'inghippo. L'artefatto finale è full stealth, e quest'exploit è full undetected dalla data di scoperta, 24 marzo 2014, sebbene sia ormai ben noto. Nessuna casa produttrice di AV intende e intenderà mai prendere provvedimenti contro quest'exploit, perché assumono che gli utenti siano in grado di accorgersi che c'è qualcosa di strano.
Referenze:
Step 1: Installa Hex: Editor NEO
Step 2: Crea un archivio ed inseriscici un file arbitrario
Step 3: Apri l'Editor, e poi dall'Editor apri l'archivio per visionarne il codice;
Step 4: Assumendo di aver compresso un file con l'estensione .pdf, dirigersi nella parte finale del codice e potrete trovare l'istanza del file che dobbiamo modificare;
Step 5: Cambiare l'estensione del file da ".pdf" a ".doc", salva tutto e chiudi l'Editor.
Tornando a visualizzare l'archivio, cliccandoci dentro noteremo che il file all'interno sembra un file ".doc" in piena regola. Tuttavia quando viene estratto torna ad essere un ."pdf"
Nessun AV è in grado di rilevare l'inghippo. L'artefatto finale è full stealth, e quest'exploit è full undetected dalla data di scoperta, 24 marzo 2014, sebbene sia ormai ben noto. Nessuna casa produttrice di AV intende e intenderà mai prendere provvedimenti contro quest'exploit, perché assumono che gli utenti siano in grado di accorgersi che c'è qualcosa di strano.
Referenze:
An7i Security
WinRar File extension spoofing ( 0DAY ) Winrar is one of the most common applications for compressing and decompressing data. This...
an7isec.blogspot.co.il
WinRar 4.20 - File Extension Spoofing
WinRar 4.20 - File Extension Spoofing.. papers exploit for Windows platform
www.exploit-db.com