Comments 50
Никогда не понимал людей, которые открывают архивы двойным кликом. Лет 15 назад уже были популярны фокусы с подделкой иконки и двойным расширением. Поэтому я все время всем рекомендую открывать и распаковывать архивы только через контекстное меню.
UFO just landed and posted this here
UFO just landed and posted this here
и под msdos? )
UFO just landed and posted this here
pehat я понял, что у меня нет чувства юмора)
Да FAR Manager вообще изначально виндовая программа. Консольная, но виндовая.
И даже для x64
UFO just landed and posted this here
Вектор атаки интересный, если не брать в расчёт, что это sfx-архив, то рендер html без ограничений в кастомный алерт это просто сверх наивности :)
Но и иранский исследователь видно, что применял это уже в корыстных целях судя по POC, который редиректит на удалённый сервер, а там генерит на VB сам payload с шеллкодом =)
P.S.: код правда «индуский»…
Но и иранский исследователь видно, что применял это уже в корыстных целях судя по POC, который редиректит на удалённый сервер, а там генерит на VB сам payload с шеллкодом =)
P.S.: код правда «индуский»…
Но sfx это же и так исполняемый файл, зачем использовать такой вектор атаки если можно просто распространять вирус? Если это попытка обмануть антивирус, то добавить необходимые сигнатуры так же просто как и для обычного вируса.
а если тыкнуть правой кнопкой ->открыть как архив эксплойт выполнится? А то тут действительно может просто изменение самого SFX модуля.
По-моему, «эксплоит» ни о чем. Фича это. Я такой же эксплоит у С++ знаю. Пишешь вирус, компилишь, выкладываешь. Скачиваешь, запускаешь — вуаля!
Любой исполняемый файл может быть вирусом. И не важно, что использовать при его подготовке — ассемблер или RAR.
Любой исполняемый файл может быть вирусом. И не важно, что использовать при его подготовке — ассемблер или RAR.
Поправка, компилировать не обязательно, можно попросить это сделать пользователя.
Опасность состоит в том, что пользователь, даже заподозрив и проверив файл антивирусом скорее всего не сможет обнаружить «скрытый сюрприз» во вложении архива.
Что мешает антивирусу выругаться на HTML-страницу в архиве?
Я повторю свою идею — зачем городить огород с содержимым архива, если вы отдаете пользователю _исполняемый_ архив? Чем такой вариант хуже?
Да не хуже — именно так обычно все и делают, еще добавляют иконку WinRAR и вперед. Вы все правильно описали, у меня такой же вопрос сразу возник.
Видимо, просто рассказывается о возможной разновидности атак, когда, например, антивирус распознал самораспаковывающийся архив как архив и полез проверять содержимое, а текст комментария к архиву проигнорировал. Именно к этому привлекается внимание.
Можно пытаться распаковывать exe-архивы правым кликом — извлечь (если открывать папку в WinRAR или 7zip или чем там еще пользуются). Тогда вы можете избежать случайного запуска исполняемого кода. Я не знаю будет ли тогда показываться этот текст (очень возможно что будет) и будет ли работать уязвимость.
Видимо, просто рассказывается о возможной разновидности атак, когда, например, антивирус распознал самораспаковывающийся архив как архив и полез проверять содержимое, а текст комментария к архиву проигнорировал. Именно к этому привлекается внимание.
Можно пытаться распаковывать exe-архивы правым кликом — извлечь (если открывать папку в WinRAR или 7zip или чем там еще пользуются). Тогда вы можете избежать случайного запуска исполняемого кода. Я не знаю будет ли тогда показываться этот текст (очень возможно что будет) и будет ли работать уязвимость.
Стоп. Какой «RCE»? RCE, это когда я вашей машине посылаю хитросвёрнутый в бутылку Клейна IP-пакет (или несколько пакетов), а в ответ на это ваша машина принимает позу покорности и начинает меня слушаться.
Как можно что-то послать winrar'у по сети, если он на порту не слушает?
Как можно что-то послать winrar'у по сети, если он на порту не слушает?
Да на самом деле помню еще в нулевых было много подобных фишек с прикреплением вредоносного кода к SFX.
Планомерно переучиваю окружающих с WinRar на 7zip.
Смысла в Rar не вижу вообще.
Смысла в Rar не вижу вообще.
У меня 7zip игнорирует настройку папки для временных файлов почему-то, и всегда разворачивает архив на системный раздел, а потом копирует туда, куда надо. Перешел на PeaZip.
Переучивать надо открывать .exe файлы, скачанные из интернета, что бы там ни обещали. А использовать можете хоть Arj.
У меня винрар где то вдвое быстрее распаковывает большие файлы.
Комментарий разработчика: forum.ru-board.com/topic.cgi?forum=5&topic=32358&start=4860#20
Товарищам, которые говорят «это и я могу: написать virus.exe и переименовать в open-me-please.rar.exe»:
вектор атаки чуть более коварный, чем может показаться.
Антивирусы, да и сам винрар, без труда могут проверить целостность архива и отсутствие вредоносного кода в упакованных файлах.
Но хватает ли фантазии антивирусам проверить отсутствие вредоносного кода в тексте приветствия?
Юный гик скачивает какой-нибудь там cool-game-installer.rar.exe, — но он же весь такой опытный, проверяет антивирусом, перед тем, как развернуть. Казалось бы, всё в порядке…
Открывает — но не винраром, а 7зипом (винрар показывает установочный скрипт). Мать мать мать, там вагон файлов, просто распаковать недостаточно, надо устанавливать.
Ну и запускает. И тут внезапно!
вектор атаки чуть более коварный, чем может показаться.
Антивирусы, да и сам винрар, без труда могут проверить целостность архива и отсутствие вредоносного кода в упакованных файлах.
Но хватает ли фантазии антивирусам проверить отсутствие вредоносного кода в тексте приветствия?
Юный гик скачивает какой-нибудь там cool-game-installer.rar.exe, — но он же весь такой опытный, проверяет антивирусом, перед тем, как развернуть. Казалось бы, всё в порядке…
Открывает — но не винраром, а 7зипом (винрар показывает установочный скрипт). Мать мать мать, там вагон файлов, просто распаковать недостаточно, надо устанавливать.
Ну и запускает. И тут внезапно!
Лол. Злоумышленнику никогда ничто не мешало просто заменить стандартный SFX-модуль, добавив в него свою вредоносную функциональность. Это, во-первых, гораздо надежней, а во-вторых, функциональности больше можно добавить.
А антивирусы могут определить вредоносный код в рантайме, те, которые сеть проверяют. Страница же из сети подгружается.
А антивирусы могут определить вредоносный код в рантайме, те, которые сеть проверяют. Страница же из сети подгружается.
А что, кто-то еще пользуется WinRAR'ом?! У него же триальный режим уже должен был закончиться…
Коротко об уязвимости:
«Запуск exe приводит к исполнению кода.»
Увы, но от такого может спасти только шапочка из фольги, новость уровня fishki.ru
«Запуск exe приводит к исполнению кода.»
Увы, но от такого может спасти только шапочка из фольги, новость уровня fishki.ru
Автору треда: lukasafonov очевидно матерые хакеры из DefconRu не смогли разобраться в том, что это не эксплоит а рипнутый скрипт кидисами bullshit.
Во-первых, это не уязвимость, а возможности винрара встраивать произвольный HTML код. Во-вторых, данный «эксплоит» это ремейк CVE-2014-6332/MS14-064(декодируем код полезной нагрузки из base64). Proof №1:
github.com/rapid7/metasploit-framework/blob/3347b90db7e6ebc143aa9b4a46ac0da10240db17/modules/exploits/windows/browser/ms14_064_ole_code_execution.rb.
Вот тут очереднойскрипткидис R-73eN заявляет что он и есть настоящий автор этого крутого «эксплоита»: www.darknet.org.uk/2015/10/winrar-vulnerability-is-complete-bullshit/#comment-164931
На самом деле настоящий автор данного вектора — китайский исследователь yuange. Этот RCE для Microsoft Internet Explorer Windows OLE Automation Array он наресерчил еще в 2009 году. Proof №2:
twitter.com/yuange75/status/532407606644457472.
Для тех кто еще не понял в чем суть, попытаюсь объяснить на пальцах:
1) Проблема вовсе не связанна с WinRAR напрямую — это баг OLE компонента MSIE.
2) Уязвимость CVE 2014-6332 работает только на не пропатченных тачках.
3) С таким же успехом можно запилить тонны фуфловых эксплоитов для большинства программ, которые юзают стандартный компонент Web браузера (ПО написанное с использование таких сред как Delphi, Visual C++ Builder и т.п).
LTR;DR.
Во-первых, это не уязвимость, а возможности винрара встраивать произвольный HTML код. Во-вторых, данный «эксплоит» это ремейк CVE-2014-6332/MS14-064(декодируем код полезной нагрузки из base64). Proof №1:
github.com/rapid7/metasploit-framework/blob/3347b90db7e6ebc143aa9b4a46ac0da10240db17/modules/exploits/windows/browser/ms14_064_ole_code_execution.rb.
Вот тут очередной
На самом деле настоящий автор данного вектора — китайский исследователь yuange. Этот RCE для Microsoft Internet Explorer Windows OLE Automation Array он наресерчил еще в 2009 году. Proof №2:
twitter.com/yuange75/status/532407606644457472.
Для тех кто еще не понял в чем суть, попытаюсь объяснить на пальцах:
1) Проблема вовсе не связанна с WinRAR напрямую — это баг OLE компонента MSIE.
2) Уязвимость CVE 2014-6332 работает только на не пропатченных тачках.
3) С таким же успехом можно запилить тонны фуфловых эксплоитов для большинства программ, которые юзают стандартный компонент Web браузера (ПО написанное с использование таких сред как Delphi, Visual C++ Builder и т.п).
LTR;DR.
Я жду опцию в архиваторах скрывать и\или не распаковывать файлы определенных расширений внутри архива.
А то куда чаще трояны упаковывают в zip.
Win-rar'ом не пользовался с верси 3.2, не подскажите может уже есть такие кастомные опции?
HaoZip 3.0 использую, жму в обычный zip (по умолчанию), редко слышу про аброказябры в имени если двойной клик по архиву, а так ни кто не жалуется.
По двойному расширению пишу программку, она уже файлы двойным расширением просто не даст запустить.
Ну и еще различные параметры такие как путь\хеш\дата и т.д.
Ни и конечно пользователям лучше не давать качать\запускать exe из не доверенных источников.
А то куда чаще трояны упаковывают в zip.
Win-rar'ом не пользовался с верси 3.2, не подскажите может уже есть такие кастомные опции?
HaoZip 3.0 использую, жму в обычный zip (по умолчанию), редко слышу про аброказябры в имени если двойной клик по архиву, а так ни кто не жалуется.
По двойному расширению пишу программку, она уже файлы двойным расширением просто не даст запустить.
Ну и еще различные параметры такие как путь\хеш\дата и т.д.
Ни и конечно пользователям лучше не давать качать\запускать exe из не доверенных источников.
Радует одно.
Если ЭТО — самый крупный баг в WinRAR за последние много лет, то WinRAR — очень безопасная программа.
Если ЭТО — самый крупный баг в WinRAR за последние много лет, то WinRAR — очень безопасная программа.
новый вид уязвимости, можно на блэкхат поехать — self RCE
А зачем вообще пользоваться винраром, а точнее, форматом .rar?
Sign up to leave a comment.
Критическая уязвимость WinRAR