前提

※脆弱性診断を行う上でのスキルアップとして検証を行っております。この記事で知り得たことを悪用することは禁止とします

推奨事項

この脆弱性は悪用が確認されています。

WinRARを使用されている場合は対策されたバージョンへアップデートすることを推奨します。

アドバイザリ

RARLabs WinRAR before 6.23 allows attackers to execute… · CVE-2023-38831 · GitHub Advisory Database · GitHub

事象概要

ユーザーがZIPアーカイブ内の良性のファイルを表示しようとすると、攻撃者が任意のコードを実行する可能性があります。この問題は、ZIPアーカイブに無害なファイル(通常の.JPGファイルなど)と無害なファイルと同じ名前のフォルダが含まれている可能性があり、フォルダの内容(実行可能なコンテンツを含む場合があります)が無害なファイルのみにアクセスしようとするときに処理されるために発生します。

6.23より前のRARLabs WinRARは攻撃者の実行を可能にします… ·CVE-2023-38831 ·GitHub アドバイザリーデータベース ·ティッカー

悪意ある圧縮ファイルをダウンロードし、正規だと思われる（画像ファイルなど）を開こうとすると、用意してあった「同じ名前のフォルダ」の「フォルダの内容」が処理される。

ユーザ操作1～2回で任意コード実行させられる。

動かすだけ

悪用の事実があるため、記事では「実際に動いた」という事実だけ記載する。

動かすbatファイルの内容。

単純にechoを実行するだけとなっている。

一瞬で終わられると困るため、pauseで止めている。

WinRARのバージョン。

脆弱性がある <=6.22 の範囲内を使用している。

動作確認する。

実際悪用されたときのレポートを参考に、脆弱性検証用圧縮ファイルを作成した。

Traders’ dollars in danger: CVE-2023-38831 zero-day vulnerability in WinRAR exploited by cybercriminals to target traders | Group-IB Blog

winRAR上で正規のファイルを開いたが、正規のファイルではなくbatファイルが開いたことが確認できた。

修正確認

修正されたと公表があった「6.23」で同様の圧縮ファイルを開いてみる。

正規の画像ファイルを開くと、操作通り正規の画像ファイルが開かれた。