Эксплуатация уязвимости CVE-2023-38831 WinRAR

Эксплуатация уязвимость CVE-2023-38831 WinRAR

В начале сентября 2023 года группировка APT29 совершила кибератаку на посольства нескольких стран: Азербайджан, Румыния, Италия и Греция. Для получения первоначального доступа была использована уязвимость RCE (удаленное выполнение кода) в WinRAR, получившая обозначение CVE-2023-38831. В статье рассмотрим технические детали, связанные с получением первоначального доступа, а также рассмотрим шаги для ручной эксплуатации уязвимости CVE-2023-38831.

Еще по теме: Как скрыть вирус в архиве ZIP и RAR

Эксплуатация уязвимости CVE-2023-38831

APT29 использовала фишинговую кампанию для распространения RAR-файла, который предоставлял начальный доступ. Фишинговая кампания была выстроена на базе продажи автомобиля BMW. В рамках кампании было отправлено более 200 электронных писем. Архив содержал PDF-файл с техническими характеристиками автомобиля, а также папку с тем же именем, что и PDF. При открытии PDF-файла с сервера автоматически загружался скрипт PowerShell, который выполнялся в фоновом режиме с помощью IEX.

Статья в образовательных целях, для обучения этичных хакеров. Несанкционированный взлом компьютеров является незаконным и рассматривается как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши действия.

Рассмотрим шаги, используемые для эксплуатации RCE в WinRAR.

Убедитесь, что вы используете WinRAR <=6.22. CVE-2023-38831 затрагивает версии WinRAR 6.23 и ниже.

Чтобы продемонстрировать уязвимость, создадим PDF-файл, который назовем bmw_m4.pdf. Поместим PDF в папку Document. Мы создали папку с тем же именем, что и PDF ( bmw_m4.pdf). В эту папку поместим CMD-файл под названием bmw_m4.pdf .cmd (обратите внимание, что перед .cmd стоит пробел). CMD-файл, который мы использовали, содержит только одну строку, а именно calc.exe, однако можно использовать любую другую полезную нагрузку.

На следующих скринах показаны шаги по созданию архива.

Шаг 1: Создайте папку с именем, заканчивающимся на .pdf, и добавьте ее в архив WinRAR.

Уязвимость WinRAR CVE-2023-38831

Шаг 2: Добавьте в архив легитимный PDF-файл, обязательно присвоив ему то же имя, что и папке.

Уязвимость CVE-2023-38831 WinRAR

Уязвимость RAR CVE-2023-38831

WinRAR вирус CVE-2023-38831

Шаг 3: Переименуйте папку и добавьте пробел в конце названия.

WinRAR вирус уязвимость

При попытке открыть PDF-файл вместо него будет выполнена полезная нагрузка CMD:

Когда пользователь дважды кликнет по файлу bmw_m4.pdf в окне WinRAR, программа выполняет команду bmw_m4.pdf /bmw_m4.pdf .cmd. Это происходит потому, что WinRAR определяет файлы, требующие временного расширения, путем итерации по всем записям архива. Если каталог совпадает с именем выбранной записи, то и выбранный файл, и файлы каталога извлекаются в корень случайного временного каталога.

Затем WinRAR вызывает ShellExecuteExW, указывая путь к временному каталогу. Пробел в конце пути заставляет ShellExecuteExW вызвать ApplyDefaultExts, выполняя первый файл с расширением PIF, COM, EXE, BAT, LNK или CMD. Такое поведение можно увидеть на следующем снимке экрана из ProcMon:

WinRAR вредонос

Итак, если мы хотим, чтобы PDF-файл действительно открывался при двойном клике (в то время как вредоносная полезная нагрузка работает в фоновом режиме), то можем поместить PDF в формате hex в файл temp.txt и модифицировать нашу полезную нагрузку CMD следующим образом:

Заключение

Эта атака объединила как социальную инженерию, так и технические уязвимости (WinRAR RCE). Такие учреждения, как посольства, университеты, электростанции и многие другие, являются основными целями для кибершпионажа, особенно в периоды геополитической напряженности. Поэтому сотрудникам необходимо знать о потенциальных проблемах безопасности и проходить обучение по вопросам безопасности.

Кроме того, для ИТ-команд не менее важно следить за тем, чтобы все программное обеспечение было актуальным, а также регулярно проводить сканирование уязвимостей и тесты на проникновение.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий