来源

关联漏洞

描述

DR. GANDALF: Aplicacion DESKTOP para WINDOWS, Inyector de archivos ZIP, generador de exploits para vulnerabilidad de WinRAR 6.22 y anteriores.

介绍

# CVE-2023-38831 - Ejecución Remota de Código en WinRAR (RCE exploit)

## ANÁLISIS DE LA VULNERABILIDAD Y DESARROLLO DEL EXPLOIT DR. GANDALF

### VULNERABILIDAD CVE-2023-38831

Este análisis se centra en la vulnerabilidad CVE-2023-38831, que afecta a la herramienta de compresión de archivos WinRAR en sus versiones 6.22 y anteriores. Esta vulnerabilidad permite la ejecución remota de código en la máquina objetivo a través de un archivo .ZIP especialmente diseñado para explotarla.

**Valoración CVSS:**

| Puntuación base | Severidad base | Vector CVSS | Puntuación de explotabilidad | Impacto |
|-----------------|----------------|-------------|-----------------------------|---------|
| 7.8             | ALTA           | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | 1.8                         | 5.9     |

La vulnerabilidad, descubierta en la versión 6.22 y anteriores, ocurre durante el procesamiento del archivo .ZIP. Durante la selección y ejecución de un archivo benigno, que podría ser un archivo .pdf o .jpg, el archivo .ZIP inyectado con malware permite que coexista el archivo benigno junto con un directorio que contiene el mismo nombre y, dentro de él, los binarios y comandos a ejecutar. La ejecución del archivo benigno activa una serie de mecanismos de descompresión y debido a la duplicidad de nombres, se produce un conflicto en la comparación de una función que envía la ruta del directorio como parámetro a la función ShellExecuteExW, lo que finalmente ejecuta la vulnerabilidad. Esto libera los archivos en la carpeta temporal de descompresión y ejecuta el archivo .cmd incrustado.

La ejecución directa del archivo .cmd marca la finalización de la explotación de la vulnerabilidad y de la primera etapa de ejecución del exploit.

### EXPLOIT CVE-2023-38831 DR. GANDALF

Para completar el análisis de la vulnerabilidad, se ha desarrollado el correspondiente EXPLOIT.

**DR. GANDALF** es una aplicación de escritorio para WINDOWS que permite la inyección del exploit en archivos .ZIP elegidos por el usuario. La ejecución del archivo señuelo .PDF o .JPG permite la explotación de la vulnerabilidad y la ejecución de una serie de mecanismos necesarios para completar el despliegue del malware.

#### CARACTERÍSTICAS DE DR. GANDALF

- **DR. GANDALF** es una herramienta de generación de exploits que permite la personalización del exploit y la inyección de código y binarios para ser ejecutados en la máquina objetivo.
- Está diseñada específicamente para explotar la vulnerabilidad CVE-2023-38831.
- Es una aplicación con una interfaz gráfica de usuario amigable y fácil de usar.
- No se requieren permisos de administrador.
- **DR. GANDALF** incluye un instalador para facilitar su uso.

#### Video Demostrativo

[Ver Video Demostrativo](https://youtu.be/MEgBryg6Uqs)

文件快照

 [4.0K]  /data/pocs/8865f89c3aeddbfcf90adc3fce57536c0a5ac8bc
├── [ 50M]  INSTALADOR.exe
└── [2.8K]  README.md

0 directories, 2 files

备注