Posted on April 8th, 2014

WinRAR yaziliminda keşfedilen bir zafiyet ,  sıkıştırılmış zip arşivindeki bir dosyanın isminin değiştirilmesine /  spoof (aldatma?) edilmesine imkan veriyor.  Örneğin,  bu zafiyeti kullanarak ZIP içerisindeki .exe uzantılı bir zararlı dosyayı,  kullanıcıya WinRAR içerisinde resim(JPEG),  döküman(doc,pdf ) gibi farklı bir dosya olarak gösterebiliriz.

ZIP File Format

Yukaridaki resimde ZIP Dosya formati gosterilmistir.  Goruldugu gibi ZIP formatinda dosya ismi offset 30’da yer alıyor. Ancak bir dosyayi WinRAR ile ZIP olarak sıkıştırdığımızda , normal ZIP dosya formatina ek olarak  WinRAR  farklı bir offset’de ikinci kez “File Name” tag’i ekliyor ve dosya ismini belirtiyor. İşte ikinci offset’deki “File Name” değiştirildiğinde , WinRAR değiştirilen dosya ismini gösteriyor yani dosya ismi spoof edilmiş oluyor. Adım adım bir örnekle uygulayalım;

winrar-2ndfilename

 

Yukaridaki resimde mesajbox.exe dosyasi WinRAR ile ZIP olarak sıkıştırılmıştır.  ZIP dosyasini bir Hex editor ile actigimizda dosya ismini offset 30 dışında nerede geçiyorsa buluyoruz.

winrar-spoof

 

Daha sonra buldugumuz offset’deki dosya ismini spoof etmek istedigimiz sekilde degistiriyoruz ve zip dosyamizi kaydediyoruz.

Sonuc olarak bu ZIP dosyasini actigimizda , asagidaki resimde goruldugu uzere spoof edilmis dosya ismi ve uzantisiyle karsilasiyoruz. Dosyaya tiklayip calistirdigimizda ise EXE dosyamiz calisiyor;

spoofed

 

 

Referans: Bahsedilen guvenlik zafiyeti Danor Cohen , Avnet Information Security tarafindan kesfedilmistir.