DR. GANDALF: Aplicacion DESKTOP para WINDOWS, Inyector de archivos ZIP, generador de exploits para vulnerabilidad de WinRAR 6.22 y anteriores.# CVE-2023-38831 - Ejecución Remota de Código en WinRAR (RCE exploit)
## ANÁLISIS DE LA VULNERABILIDAD Y DESARROLLO DEL EXPLOIT DR. GANDALF
### VULNERABILIDAD CVE-2023-38831
Este análisis se centra en la vulnerabilidad CVE-2023-38831, que afecta a la herramienta de compresión de archivos WinRAR en sus versiones 6.22 y anteriores. Esta vulnerabilidad permite la ejecución remota de código en la máquina objetivo a través de un archivo .ZIP especialmente diseñado para explotarla.
**Valoración CVSS:**
| Puntuación base | Severidad base | Vector CVSS | Puntuación de explotabilidad | Impacto |
|-----------------|----------------|-------------|-----------------------------|---------|
| 7.8 | ALTA | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | 1.8 | 5.9 |
La vulnerabilidad, descubierta en la versión 6.22 y anteriores, ocurre durante el procesamiento del archivo .ZIP. Durante la selección y ejecución de un archivo benigno, que podría ser un archivo .pdf o .jpg, el archivo .ZIP inyectado con malware permite que coexista el archivo benigno junto con un directorio que contiene el mismo nombre y, dentro de él, los binarios y comandos a ejecutar. La ejecución del archivo benigno activa una serie de mecanismos de descompresión y debido a la duplicidad de nombres, se produce un conflicto en la comparación de una función que envía la ruta del directorio como parámetro a la función ShellExecuteExW, lo que finalmente ejecuta la vulnerabilidad. Esto libera los archivos en la carpeta temporal de descompresión y ejecuta el archivo .cmd incrustado.
La ejecución directa del archivo .cmd marca la finalización de la explotación de la vulnerabilidad y de la primera etapa de ejecución del exploit.
### EXPLOIT CVE-2023-38831 DR. GANDALF
Para completar el análisis de la vulnerabilidad, se ha desarrollado el correspondiente EXPLOIT.
**DR. GANDALF** es una aplicación de escritorio para WINDOWS que permite la inyección del exploit en archivos .ZIP elegidos por el usuario. La ejecución del archivo señuelo .PDF o .JPG permite la explotación de la vulnerabilidad y la ejecución de una serie de mecanismos necesarios para completar el despliegue del malware.
#### CARACTERÍSTICAS DE DR. GANDALF
- **DR. GANDALF** es una herramienta de generación de exploits que permite la personalización del exploit y la inyección de código y binarios para ser ejecutados en la máquina objetivo.
- Está diseñada específicamente para explotar la vulnerabilidad CVE-2023-38831.
- Es una aplicación con una interfaz gráfica de usuario amigable y fácil de usar.
- No se requieren permisos de administrador.
- **DR. GANDALF** incluye un instalador para facilitar su uso.
#### Video Demostrativo
[Ver Video Demostrativo](https://youtu.be/MEgBryg6Uqs)
[4.0K] /data/pocs/8865f89c3aeddbfcf90adc3fce57536c0a5ac8bc
├── [ 50M] INSTALADOR.exe
└── [2.8K] README.md
0 directories, 2 files