Lo posteamos tal cual fue creado el tutorial, para que puedan entender bien como es el accionar y oara que de esa forma, ustedes esten alerta para que no sean infectados.
Vamos a explicar como explotar un 0-day en Winrar que salio a la luz hace poco por el researcher en seguridad Danor Cohen de Ant7i, que afecta a la versión 4.20 de Winrar y que nos permitirá modificar nombres de archivos para que no parezca sospechoso.
* El 0-day lo podemos interpretar como el tiempo desde que se encuentra un bug o exploit hasta que sale su solución (parche) que solvente esta debilidad y el día 1 es el día que sale el parche.
Descripción: Creamos un fichero .zip que incorpore un archivo .pdf y con un editor hexadecimal lo forzaremos para hacerlo .mp3
Empezamos descargandonos el Winrar 4.20, puedes descargarlo aquí en catalán de Softonic.
Caso practico:
Seleccionamos una canción cualquiera que sea .mp3 y la cambiamos a .pdf
Este pdf lo añadimos con winrar a un archivo .zip
Hasta aquí todo “normal”, ahora es cuando viene el bug o magia para algunos. Necesitaremos un editor hexadecimal para esta practica, yo usare XVI32 para este caso, y abrimos el zip que hemos creado.
Localizamos el nombre de los ficheros que hay en el interior y podemos modificar su nombre y extensión. El mio es BSOangrybirds.pdf
 |
| Archivo zip abierto con XVI32 |
Y lo renombramos por el nombre que mostraremos una vez que demos el doble click, lo guardamos…
 |
| Sustitución por BSOjarrybirds.mp3 |
Por ultimo vamos a probarlo. Cuando abrimos el archivo zip vemos que sigue siendo BSOangrybirds.pdf pero al abrirlo, nos carga un archivo BSOjarrybirds.mp3 con el reproductor de música que tengamos por defecto.
 |
| Demostración de funcionamiento del 0-day |
Nosotros hemos hecho la prueba con un mp3 pero podría haber sido un ejecutable malicioso, como puede ser un .exe, .bat u otros scripts en lenguajes de programación utilizando este mismo procedimiento. Esto es un grave problema de seguridad, poder ocultar visualmente lo que se va a ejecutar.