... Daarnaast is een SFX ook nog gewoon uit te pakken met Winrar zelf, dat als trial weer gratis te downloaden is.

OS-bouwers, let op: Alle programma's van buitenaf dienen altijd in een sandbox gedraaid te worden!

Ik heb ergens (ik weet niet meer waar) de suggestie gelezen dat als je een gemanipuleerd WinRAR-SFX-exe bestand met behulp van WinRAR uitpakt (dus de exe file niet opstart), er ook code uitgevoerd wordt. Echter, het aantal mensen dat dit doet (die jouw tip niet gelezen hebben) zal vermoedelijk niet zo groot zijn.

Het enige dat Winrar in eerste instantie van een .rar (of sfx) bestand leest is de info. Dit is de tabel met de bestandsnamen, daarna de pointer en lengte van iedere file in het .rar bestand. Daarna wordt de data (vanaf Pointer, tot de Lengte) al decomprimerend weggeschreven. De Uitpakcode in een sfx bestand wordt dan volkomen genegeerd wat mij betreft.

De "exploit" bestaat eruit dat HTML code (met daarin VBScript) getoond wordt die de aanvaller aan de RAR file toevoegt.

Ik ben geen WinRAR gebruiker en wist dus ook niet hoe WinRAR met die HTML om zou gaan als je een RAR file met dergelijke HTML erin in WinRAR opent (dus niet de exe file start).

Zojuist heb ik daarnaar gekeken door van een willekeurige tekstfile "test.txt" een SFX "test.exe" te maken en daar HTML code aan toe te voegen als volgt, uit http://seclists.org/fulldisclosure/2015/Sep/106:
en de volgende tekst in te voegen:

Het resultaat is dat als ik test.exe uitvoer, er daadwerkelijk HTML wordt geïnterpreteerd (o.a. het plaatje van Security.nl wordt opgehaald en getoond), d.w.z. voordat er iets wordt uitgepakt.

Echter, als ik test.exe open in WinRAR verschijnt er rechts een venster met de volgende inhoud:
Mijn punt was dat als WinRAR op dat moment ook HTML had geïnterpreteerd, het om een enigszins ernstige kwetsbaarheid zou kunnen gaan (immers voorzichtige mensen zouden WinRAR kunnen gebruiken om te kijken wat er in een SFX exe zit alvorens deze uit te voeren). Je hebt gelijk, dit lijkt hier niet aan de orde, dus wat ik er ergens over gelezen heb, klopt waarschijnlijk niet.

Het lijkt er overigens wel op dat WinRAR gebruik maakt van Internet Explorer functionaliteit op je PC voor het interpreteren van HTML (met alle risico's van dien, met name als je IE niet heb dichtgetimmerd omdat je toch altijd Firefox o.i.d. gebruikt).

Deze PoC lijkt me echter steeds meer om een hoax te gaan, want als je de BASE64 "exploit" code uitpakt staat daar een enorme hoop irrelevante code in. Ook ontgaat me waarom je hiervoor (met Perl) een soort locale webserver zou moeten draaien. Verder is het bezopen om in 1 post te spreken van 3 verschillende CVSS scores: 9, 92. en 7.4. De relatie met de in de PoC genoemde "MS14-064" ontgaat mij ook.

Het lijkt allemaal vooral bedoeld om de media gek te maken, en dat lijkt aardig gelukt. Het enige "nut" van deze exploit dat ik zie is dat script kiddies, zonder programmeerkennis, mogelijk een kwaadaardige exe file kunnen maken die op een legitieme WinRAR SFX lijkt.

Overigens zou dat een stuk gevaarlijker zijn als de WinRAR SFX code van een authenticode certificaat zou zijn voorzien, maar dat is gelukkig niet het geval. Nb. om Microsoft's MS13-098 jouw PC te laten beschermen tegen ondertekende -doch gemanipuleerde- bestanden, moet je nog steeds een registerwijziging aanbrengen. En als je dat doet, is zo'n gemanipuleerd bestand niet te onderscheiden van een unsigned bestand - het "Digital Signatures" tabblad in file -> properties ontbreekt dan gewoon als het bestand is gemanipuleerd (voor meer info zie https://www.security.nl/posting/398401/Microsoft+verschuift+blokkade+oude+Java-versies+in+IE#posting398405).

Aanvulling, o.a. Kaspersky en Symantec zien geen kwaad in de html code (uitgepakte BASE64 code) uit http://seclists.org/fulldisclosure/2015/Sep/106, zie https://www.virustotal.com/en/file/faffb5136f1d1e5049197573eedc52f092b643b2148f53004aa0753e90000ed7/analysis/1443713049/.

Mooie toevoeging, Erik, dan k je wel.

Het verschil tussen Winrar en de SFX, is dat Winrar een tekstveld heeft om toegevoegde tekst te tonen (en dus html of een script als platte tekst toont), en dat de SFX een Internet Explorer instance gebruikt om de toegevoegde tekst te tonen, en *dat* interpreteert de html code nu wel.

Kudos!