Se ha identificado una vulnerabilidad explotable en las versiones de RARLabs WinRAR anteriores a la 6.23. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario a través de un archivo ZIP específicamente diseñado.
La vulnerabilidad surge debido al mal manejo de archivos ZIP que contienen archivos benignos, como documentos .PDF normales, junto con carpetas que comparten el mismo nombre. Cuando un usuario intenta acceder al archivo benigno, el archivo puede incluir una carpeta con un nombre similar que contenga contenido ejecutable. Este contenido malicioso dentro de la carpeta se procesa durante el intento de acceder al archivo benigno, lo que facilita la ejecución de código arbitrario.
Los ataques han estado ocurriendo al menos desde abril, unos tres meses antes de que los investigadores de Group-IB descubrieran la vulnerabilidad y la informaran a RarLab, la empresa que desarrolla y distribuye WinRAR.
Ahora bien, explicaremos como explotan esta vulnerabilidad:
- Crearemos una carpeta llamada SoporteMS, dentro de esta carpeta crearemos 2 carpetas más, una carpeta llamada “archivo” con un archivo cualquiera que tengamos el cual llamaremos “cotizacion_2023.pdf”, y otra llamada con ese nombre “cotizacion_2023.pdf”.
- Ahora dentro de la carpeta llamada “cotizacion_2023.pdf” crearemos un archivo llamado “cotizacion_2023.pdf .cmd” el cual contendrá por así decirlo el código malicioso que queremos se ejecute, como ejemplo abriremos este sitio web, ingresando el siguiente código:
@echo off start https://soportems.com
- Hacemos clic derecho en la carpeta “cotizacion_2023.pdf” y seleccionamos “Añadir al archivo…”
- En los parámetros en “formato de archivo” seleccionamos “ZIP” y después seleccionamos la pestaña de ficheros:
- Una vez en la pestaña ficheros, hacemos clic en “añadir” y seleccionamos nuestro archivo pdf “cotizacion_2023.pdf” y hacemos clic en aceptar:
- Abriremos nuestro archivo zip generado con winrar y vemos el archivo como la carpeta:
- Hacemos clic derecho sobre la carpeta “cotizacion_2023” y seleccionamos renombrar, y agregaremos un espacio, donde entra esta vulnerabilidad antes explicada:
- Ahora al abrir el archivo “cotizacion_2023.pdf” ejecutara el script dentro de la carpeta, abriendo este sitio web.