About Teletype
Join
THREAD
@thread_type
August 15

CVE-2025-8088 - WinRAR позволяет использовать полезную нагрузку

Критическая уязвимость, обнаруженная в программе WinRAR, которая позволяет выполнять удаленный код на компьютере жертвы. Уязвимость относится к типу "обход каталога" (path traversal). Злоумышленник может создать вредоносный RAR-архив, который при распаковке помещает файлы в произвольную папку на компьютере, а не в ту, которую выбрал пользователь.

Технические детали

  • Пораженные версии: WinRAR (версии до патча для CVE-2025-8088).
  • Платформы: Windows (NTFS), так как уязвимость использует Alternate Data Streams (ADS) и функциональность архиватора WinRAR.
  • Тип уязвимости: Path Traversal через манипуляцию заголовками RAR5 (CWE-22).
  • CVSS v3.1: Точная оценка отсутствует, но потенциально высокая (7.5–9.8), учитывая возможность удаленного выполнения кода (RCE) при эксплуатации с другими уязвимостями. Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H (предположительно, так как требуется взаимодействие пользователя для распаковки архива).
  • Точка входа: Обработка RAR5-архивов с внедренным Alternate Data Stream (ADS) в имени файла, содержащем путь с traversal-сегментами (например, ..\).
  • Метод эксплуатации: Создание вредоносного RAR-архива с подменой имени потока данных (ADS) для размещения файла в произвольной директории на диске жертвы (например, C:\Users\you\Documents). Используется XML с внедренным именем файла, содержащим ..\ для обхода каталога распаковки.
  • Ограничения: Требуется взаимодействие пользователя (распаковка архива), наличие WinRAR на системе жертвы, а также NTFS для поддержки ADS. Успех зависит от предсказуемости целевой директории.

Влияние

Уязвимость возникает из-за недостаточной проверки и очистки путей в заголовках RAR5, что позволяет внедрить последовательности ..\ (родительский каталог) в имя файла. Это дает возможность атакующему записать файл (например, вредоносный скрипт) в целевую директорию, такую как папка автозагрузки или другая системная директория, что может привести к выполнению кода при наличии дополнительных уязвимостей или действий пользователя.

Критические последствия

  • Размещение вредоносных файлов: Атакующий может записать файл (например, .bat, .exe) в произвольную директорию, включая системные папки (например, C:\ProgramData или %APPDATA%), что может привести к выполнению кода при запуске пользователем или системой.
  • Потенциальное RCE: Если файл размещен в папке автозагрузки или другой директории, автоматически выполняемой системой (например, через запланированные задачи), это может привести к удаленному выполнению кода.
  • Компрометация данных: Вредоносный файл может перезаписать существующие файлы, нарушить целостность системы или украсть данные.

Метод работы уязвимости

Создание вредоносного архива:

  • Атакующий использует скрипт (например, предоставленный PoC) для создания RAR5-архива с внедренным Alternate Data Stream (ADS).
  • В заголовке архива указывается имя файла с traversal-путем (например, ..\..\..\..\Users\you\Documents\payload.bat), которое будет использоваться при распаковке.
  • PoC-скрипт (poc.py) автоматизирует процесс:
    • Создает временный архив с файлом-обманкой (decoy) и прикрепленным ADS.
    • Подменяет заголовок архива, заменяя placeholder на traversal-путь.
    • Пересчитывает CRC32 для всех заголовков, чтобы архив выглядел легитимным.

Механизм эксплуатации:

При распаковке WinRAR некорректно обрабатывает имя файла с ..\, что позволяет выйти за пределы целевой директории. Например, если пользователь распаковывает архив в C:\Temp, файл может быть записан в C:\Users\you\Documents\payload.bat вместо C:\Temp\payload.bat. ADS используется для маскировки вредоносного содержимого, что затрудняет обнаружение до распаковки.

Download | Github

#exploit
August 15, 08:09
0 views
0 reposts