Использование уязвимости в SFX архиве с выполнением удалённого кода.
Несколько дней назад появилась информация о найденной в модуле SFX winrar'a уязвимости, позволяющей выполнить удаленный код.
Статья на ксакепе: xakep.ru/2015/10/01/winrar-sfx-bug/
Уязвимость работает благодаря поддержке html тегов в winrar при создании sfx архивов (думаю с такими вы хорошо знакомы;) ).
Для работы достаточно запуска, даже ничего не надо устанавливать сейчас вы уведите почему.
Давайте создадим архив, который будет открывать нужный нам сайт (это может быть и любой файл):
Создаем архив в winrar.
Выбираем Создать sfx архив.
Далее переходим во вкладку Дополнительно->Параметры sfx->текст и графика
В область Текст в окне вписываем свой код.
Например:
Где в content="" 0 - время в секундах до открытия ссылки, URL=сама ссылка
Жмём OK
В итоге получаем:
Кстати, если подставить ссылку на exe выйдет следующее:
Суть данной атаки:
При распаковке SFX архива можно выполнить произвольный код. Т.е.
кидаешь человеку подобный архив, при запуске его дополнительно открывается, например, твоя ссылка, а там может быть что угодно, и какой либо скрипт, и файл, и есть вероятность что его запустят.. Такое может делать любой самый примитивный троянчег на vbs конечно, но блин, это же оф. софт.
Комментарии