Giters

elefantesagradodeluzinfinita / cve-2023-38831

DR. GANDALF: Aplicacion DESKTOP para WINDOWS, Inyector de archivos ZIP, generador de exploits para vulnerabilidad de WinRAR 6.22 y anteriores.

Geek Repo:Geek Repo

Github PK Tool:Github PK Tool

CVE-2023-38831 - Ejecución Remota de Código en WinRAR (RCE exploit)

ANÁLISIS DE LA VULNERABILIDAD Y DESARROLLO DEL EXPLOIT DR. GANDALF

VULNERABILIDAD CVE-2023-38831

Este análisis se centra en la vulnerabilidad CVE-2023-38831, que afecta a la herramienta de compresión de archivos WinRAR en sus versiones 6.22 y anteriores. Esta vulnerabilidad permite la ejecución remota de código en la máquina objetivo a través de un archivo .ZIP especialmente diseñado para explotarla.

Valoración CVSS:

Puntuación base Severidad base Vector CVSS Puntuación de explotabilidad Impacto
7.8 ALTA CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 1.8 5.9

La vulnerabilidad, descubierta en la versión 6.22 y anteriores, ocurre durante el procesamiento del archivo .ZIP. Durante la selección y ejecución de un archivo benigno, que podría ser un archivo .pdf o .jpg, el archivo .ZIP inyectado con malware permite que coexista el archivo benigno junto con un directorio que contiene el mismo nombre y, dentro de él, los binarios y comandos a ejecutar. La ejecución del archivo benigno activa una serie de mecanismos de descompresión y debido a la duplicidad de nombres, se produce un conflicto en la comparación de una función que envía la ruta del directorio como parámetro a la función ShellExecuteExW, lo que finalmente ejecuta la vulnerabilidad. Esto libera los archivos en la carpeta temporal de descompresión y ejecuta el archivo .cmd incrustado.

La ejecución directa del archivo .cmd marca la finalización de la explotación de la vulnerabilidad y de la primera etapa de ejecución del exploit.

EXPLOIT CVE-2023-38831 DR. GANDALF

Para completar el análisis de la vulnerabilidad, se ha desarrollado el correspondiente EXPLOIT.

DR. GANDALF es una aplicación de escritorio para WINDOWS que permite la inyección del exploit en archivos .ZIP elegidos por el usuario. La ejecución del archivo señuelo .PDF o .JPG permite la explotación de la vulnerabilidad y la ejecución de una serie de mecanismos necesarios para completar el despliegue del malware.

CARACTERÍSTICAS DE DR. GANDALF

  • DR. GANDALF es una herramienta de generación de exploits que permite la personalización del exploit y la inyección de código y binarios para ser ejecutados en la máquina objetivo.
  • Está diseñada específicamente para explotar la vulnerabilidad CVE-2023-38831.
  • Es una aplicación con una interfaz gráfica de usuario amigable y fácil de usar.
  • No se requieren permisos de administrador.
  • DR. GANDALF incluye un instalador para facilitar su uso.

Video Demostrativo

Ver Video Demostrativo

About

DR. GANDALF: Aplicacion DESKTOP para WINDOWS, Inyector de archivos ZIP, generador de exploits para vulnerabilidad de WinRAR 6.22 y anteriores.