26 tháng 3, 2014

Lỗi nguy hiểm trong WinRAR

Đây là một lỗi rất nghiêm trọng và nguy hiểm trong WinRAR. Lỗi này cho phép những kẻ tấn công gửi một file thực thi (như .exe) có thể là Virus/Malware/Trojan trong file nén dạng .ZIP và khi chúng ta mở bằng WinRAR sẽ không thấy phần đuôi .exe mà bị ẩn dấu đi thay bằng đuôi mà kẻ tấn công muốn ta thấy (.jpg, .bmp…).

Ví dụ:
Ta có: FileVirus.exe
Khi ta mở bằng phần mềm WinRAR sẽ thấy là: FileVirus.jpg

Khi chúng ta nén file với “ZIP Format” bằng WinRAR, cấu trúc các tập tin sẽ trông giống nhau nhưng WinRAR bổ sung thêm một số đặc tính riêng của mình.

Để làm rõ hơn ta hãy nhìn vào một file văn bản có tên “test.txt” có chữa dữ liệu “A” sau khi được nén với định dạng ZIP bằng WinRAR.


Trong ví dụ trên ta có thể thấy WinRAR gắn thêm “tên tập tin” vào tập tin nén.

Phân tích sâu hơn cho thấy rằng tên thứ hai là “File Name” của file mà WinRAR sẽ hiển thị khi chúng ta mở file được nén bằng WinRAR trong khi tên đầu tiên là tên xuất hiện sau khi file được giải nén.

Vậy ở đây điều gì sẽ xảy ra nếu các tên đầu tiên và tên cuối cùng khác nhau?
WinRAR sẽ hiển thị tên giả mạo, sau khi giải nén người dùng sẽ nhận được tên tập tin thực sự.

Ta sẽ lợi dụng điều này.
1.      Giả sử ta có file “uTorrent.exe” (các bạn thay bằng file nào các bạn muốn nhé).

2.      Ta sẽ đi nén file “uTorrent.exe” bằng WinRAR với định dạng ZIP


3.      Cuối cùng ta sẽ mở tập tin .ZIP này với một trình soạn thảo hex (free-hex-editor-neo, winhex, …) thay đổi chỉ tên thứ 2 với tên giả và lưu lại nó như một tập tin ZIP.


Kết quả khi ta mở tập tin .ZIP này lên sẽ thấy một tập tin ảnh ta đã đổi.


Khi ta kích vào để mở thì tập tin (ở đây là uTorrent.exe) sẽ được thực thi.


Một lỗi nguy hiểm khác là “Unicode RLO Spoofing” và chúng ta sử dụng RLO Unicode character (ký tự đọc từ phải qua trái) để kết hợp với lỗi này sẽ hoàn toàn làm cho người dùng windows bị lừa và click vào file chứa virus/malware/trojan…
Tham khỏa lỗi này tại:
http://www.fileformat.info/info/unicode/char/202e/index.htm

Bài viết dựa theo nguồn:
http://an7isec.blogspot.co.il/2014/03/winrar-file-extension-spoofing-0day.html

Mình đã test thử:
WinRAR 3.x, WinRAR 5.x, WinRAR 4.0 an toàn.
WinRAR 4.x (x#0) bị (cả bản 32bit và 64bit).

Thanks!.
Người đăng: vào lúc
Nhãn:

2 nhận xét:

  1. Unknownlúc 22:22 29 tháng 3, 2014

    Anh ơi, em có thể nói chuyện với anh được k ạ.0947685665 em rất mong anh. em cám ơn anh rất nhiều

    Trả lờiXóa
    Trả lời
    1. Khoi, Nguyen Vanlúc 09:23 1 tháng 4, 2014

      bạn cần thì add nick yahoo của mình nhé, nvkhoiit@yahoo.com.

      Xóa

Đăng ký: Đăng Nhận xét (Atom)