PoC Vulnerabilidad WinRAR (CVE-2023-38831)

Disclamer: Todas las pruebas, ejemplos, códigos y/o explicaciones que aquí se exponen tienen un ámbito didáctico. Se rechaza cualquier actividad ilícita generada por lo expuesto en este escrito.

Recientemente se ha publicado una nueva vulnerabilidad enfocada al famoso software WinRAR. Este fallo ha sido descubierto por el grupo Group-IB y en el siguiente enlace se puede encontrar la información publicada oficialmente.

Según los datos, la vulnerabilidad había sido explotada activamente durante un mes, desde el 10 de Julio de 2023. Por su parte, las versiones afectadas han sido todas las anteriores a la versión 6.23.

La siguiente entrada trata de explicar una pequeña prueba de concepto sobre la vulnerabilidad.

Todo esto se puede denominar, spoofing de extensiones y se trata de una anomalía, pues en una situación normal, no es posible tener estos dos archivos (aunque sea una carpeta) con el mismo nombre.

De aquí aparece el comportamiento erróneo en WinRAR, ya que este no espera tener dos archivos con el mismo nombre. En esta situación, y como ahora veremos, la aplicación no sabe que hacer…

Digo que no sabe que hacer, porque el comportamiento es muy curioso. Al tener dos archivos iguales, si ejecutamos el archivo propio de la imagen “Sysbeards.jpg” (el segundo, la imagen), WinRAR verá su contenedor y ejecutará el primero que aparezca, en este caso, la carpeta con mismo nombre.

Esto ya es incorrecto, pero para darle mas sentido, dentro de la carpeta tenemos un script con el mismo nombre (y extensión “cmd”). De esta forma, al tratar de abrir la imagen, ¡WinRAR ejecutará el script!

De esta forma, si conseguimos mantener esta estructura dentro de un archivo comprimido, conseguiremos ejecutar un script a través de la ejecución de una imagen.

En este caso, la primera dificultad reside en tener la imagen y la carpeta con el mismo nombre en WinRAR. Digo esto, porque ni Windows ni WinRAR van a permitir esta estructura:

Para conseguirlo, se puede hacer uso del gran 7-zip, ya que este permite hacer de todo. Para ello, incluimos en primer lugar la imagen en un archivo comprimido. Seguidamente, introducimos la carpeta y modificamos el nombre dentro de 7-zip haciéndola coincidir con el de la imagen.

De esta forma, tendremos la estructura creada para la prueba de concepto.

Dentro de la carpeta es necesario incluir el script que se desee ejecutar. Para esta prueba de concepto el script únicamente abrirá la clásica calculadora.

Ya solo queda ejecutar la imagen y ver como se abre una calculadora!

Con esta PoC queda demostrada la vulnerabilidad de WinRAR en versiones anteriores a la 6.23. Esta última versión ha salido recientemente con el objetivo de corregir este problema, y el comportamiento es el esperado. Es decir, la última versión hace un tratamiento correcto de los archivos.

Por ello, siempre es necesario tener todas las aplicaciones actualizadas a la última versión para evitar este tipo de vulnerabilidades 🙂