Análisis de la Vulnerabilidad RCE de WinRAR

Hace unos días se publicó una vulnerabilidad que afectaría a los archivos auto-extraíbles de WinRAR (SXF) y mediante la cual se podría ejecutar código de forma remota (RCE). Pero luego de un rápido análisis de esta vulnerabilidad, nos encontramos con algo muy distinto.

En la Prueba de Concepto realizada por el investigador Mohammad Reza, se crea un archivo SXF (Archivo auto-extraíble), se inserta un código HTML para que la víctima al abrir el archivo acceda a una web que podría estar controlada por un atacante. Antes de que la víctima abra el archivo, el atacante ya estaría ejecutando en el servidor al que apunta el archivo SXF, un script en Perl mediante el cual se podría ejecutar código de forma remota.

Sin embargo al analizar el script utilizado en el video, se puede ver que parte de el se encuentra cifrada base64. Al descifrarla nos encontramos con que el script en realidad se aprovecha de otra vulnerabilidad de Windows que si permite ejecución de código remoto.

La vulnerabilidad en cuestión es la MS14-064, Windows OLE Could Allow Remote Code Execution (3011443). Fue descubierta el año pasado y dispone de un parche de seguridad desde el 14 de Noviembre del 2014.

Al intentar replicar el ataque en uno de nuestros equipos de pruebas, nos damos cuenta que se encuentra parcheado por lo que desinstalamos el parche de seguridad y abrimos el archivo SXF malicioso, sin embargo inmediatamente el antivirus bloquea la conexión y lo cataloga como un intento de intrusión.

Procedemos a deshabilitar el antivirus, pero tampoco logramos tener éxito con el ataque, por lo que es muy probable que esta vulnerabilidad haya sido parcheada también en alguna actualización de Internet Explorer, ya que la ventana que se muestra al abrir el archivo SXF utiliza el navegador de Windows.

Dentro del exploit publicado se encuentra el siguiente payload.

Al descifrarlo, encontramos el siguiente script.

Como se puede ver, corresponde a un script VB incrustado en un HTML el cual es ejecutado por el navegador, aprovechando la vulnerabilidad MS14-064.

Si bien no es seguro que los archivos SXF de WinRAR tengan la opción de mostrar código HTML automáticamente cuando se ejecutan, no permiten la ejecución de código remoto como tal, actúa solo como un medio para aprovechar otra vulnerabilidad. Obtendríamos el mismo resultado enviando por correo un link que apunte al servidor desde donde se ejecuta el ataque.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.