Winrar Dosya Uzantısı Kandırma Yoluyla Zararlı Yazılım Çalıştırma

Winrar, popüler dosya arşivleme yazılımıdır. Dosyaları sıkıştırmak ve açmak için yaygın olarak kullanılır.

Kısa süre önce bir güvenlik araştırmacısı tarafından keşfedilen bir zafiyet, winrar içerisinde arşivlenen dosyaların orjinal isimleri korunarak, yalnızca görünen isimlerinin değiştirilebildiğini gösterdi.

Bu zafiyet ile saldırganlar son kullanıcılara yönelik sosyal mühendislik saldırıları yapmaya imkan kazanıyor. Bu durumu ve korunma yöntemini aşağıdaki örnekle pekiştirebiliriz;

b.exe bu örnek için oluşturulmuş casus yazılım, bunu winrar kullanarak .zip formatında arşivliyoruz.

Daha sonra herhangi bir  hex editor ile açarak, b.exe’nin sahip olduğu ikinci ismi b.jpg olarak değiştiriyoruz.

Bu işlemden sonra, herhangi bir bilgisayarda winrar ile bu dosya açıldığında b.jpg olarak görünecektir.

Kullanıcı bunu çift tıklayarak açmak istediğinde dosyanın aslı olan b.exe (casus yazılım) çalışacaktır.

Yaptığımız testlerde, Winrar 4.20 üstü sürümlerde bu saldırı vektörünün çalışmadığını gözlemledik. Bu saldırıdan korunmak için öncelikle, kullandığınız winrar sürümünü yükseltmenizi öneririz.

Bir arşiv dosyasını, winrar ile ‘Dosyaları Çıkar’ özelliğini kullanarak bulunduğunuz dizine açarsanız orjinal ismiyle açılacaktır dosya. Direkt winrar içerisinden dosyaları Çift tıklayarak açmamaya özen gösteriniz.

Yazar : Ozan UÇAR
ozan.ucar@bga.com.tr

Kaynak: http://an7isec.blogspot.co.il/2014/03/winrar-file-extension-spoofing-0day.html