Vulnerabilidad trasversal de directorio en WinRAR

a vulnerabilidad trasversal de directorio, generalmente es un problema causado por un error en la validación de las entradas de nombres de archivos. Especificando un nombre con la secuencia de caracteres "..\" o "..%5C", es posible acceder a directorios superiores, diferentes a los asignados dentro del entorno controlado por la aplicación para recibir archivos, según publica vsantivirus.

La vulnerabilidad puede explotarse directamente, si el usuario utiliza las opciones de descomprimir archivos con el botón derecho, y hace clic sobre la tercera opción del menú contextual, "Extraer en"., ya que WinRAR descomprimirá los archivos en una carpeta con el mismo nombre del archivo.

Por ejemplo un archivo "...RAR" o "...ZIP" (note que el nombre del archivo es "punto punto punto extensión") mostrará en la tercera opción del botón derecho lo siguiente: "Extraer en ..\". Si el usuario hace clic allí, los archivos se extraerán en la carpeta anterior a la actual sin advertencia alguna.

También podría ocurrir lo mismo en las siguientes circunstancias, aunque es más improbable que el usuario acepte la condición de no cambiar el nombre de la carpeta destino:

- Botón derecho, "Extraer fichero" y no cambiar el nombre de la carpeta de destino.

- Botón derecho, "Extraer en.." y no cambiar el nombre de la carpeta de destino.

- Doble clic directamente sobre el archivo, se utiliza el botón "Extraer en" y no se cambia el nombre de la carpeta de destino.

Evidentemente, explotar este fallo en forma exitosa es muy complicado, ya que se debe predecir la ubicación actual del directorio donde se encuentre el ZIP o RAR, esperar que el usuario acepte las opciones por defecto en el nombre del directorio destino, o confiar que usará la tercera opción del menú contextual del botón derecho.

Sin embargo, en el laboratorio de VSAntivirus, hemos comprobado que la vulnerabilidad también puede explotarse en archivos auto extraíbles creados con WinRAR, con las mismas condiciones (no cambiar el nombre del directorio destino).

Lo peligroso en este caso, es que un archivo podría ser creado para que se descomprima por ejemplo, en la carpeta "C:\Archivos de programa\..\". Si el usuario acepta el nombre de la carpeta destino (esto podría ser más probable, ya que el uso de "Archivos de programa" es muy común), y el autoextraíble (SFX), está configurado para borrar archivos sin preguntar, podría sobrescribir o incluso borrar aquellos que estuvieran en el raíz del disco C: (en este caso). Incluso, la creación de archivos SFX permite indicar que archivos borrar sin preguntar.


Software vulnerable:

La vulnerabilidad ha sido confirmada en las siguientes versiones de WinRAR:

- WinRar 3.0.0
- WinRar 3.10 beta 3
- WinRar 3.10 beta 4
- WinRar 3.10 beta 5
- WinRar 3.10
- WinRar 3.11
- WinRar 3.20
- WinRar 3.40
- WinRar 3.41
- WinRar 3.42


Solución

No existe ninguna actualización de parte del vendedor.

Se recomienda seleccionar correctamente la carpeta destino al descomprimir un archivo con WinRAR, o al ejecutar un archivo autodescomprimible.

Más información:

7a69Adv#21 - WinRAR unpack one-folder path disclosure
www.7a69ezine.org/node/view/196


Referencias:

WinRAR España
http://winrar.com.es/

RARLAB, home of WinRAR and RAR archivers
www.rarlab.com/index.htm