Hace poco se mostraba en un blog israelí una vulnerabilidad 0-day en la versión 4.20 de WinRAR (otras versiones podrían verse también afectadas) con la que es posible engañar muy fácilmente a un usuario para que ejecute por ejemplo... un troyano. Además es sumamente sencilla de explotar...
Para nuestra PoC empezaremos creando un simple vbs 'pruebas.vbs':
MsgBox("PWNED! jajaj")
y lo comprimiremos creando el fichero 'pruebas.zip':
(https://4.bp.blogspot.com/-ColV34rndu4/UzC7z-zRaTI/AAAAAAAAWyI/1e_ya_iYE80/s1600/winrar_0day_2.png)
Cuando tratamos de comprimir el archivo en "formato ZIP" con WinRAR, la estructura de archivos es la estándar pero WinRAR añade varias propiedades adicionales, como un segundo nombre de archivo:
(https://4.bp.blogspot.com/-1eVdY2_nvgc/UzC70FPxhgI/AAAAAAAAWyE/tjIobKHFEYk/s1600/winrar_0day_3.png)
¿Qué pasa si modificamos ese nombre con nuestro editor hexadecimal por algo más "sugerente" como 'tetazas.jpg'?:
(https://2.bp.blogspot.com/-eBFvkfAsvJA/UzC70l8XV9I/AAAAAAAAWyc/9TtzCKiViNA/s1600/winrar_0day_4.png)
Veamos el resultado:
(https://3.bp.blogspot.com/-XcKzFbV2IIk/UzC71DXFo-I/AAAAAAAAWyY/Kp2woLkvWPQ/s1600/winrar_0day_5.png)
Al abrir el fichero comprimido nos muestra aparentemente una imagen, pero al hacer doble clic en ella se ejecutará nuestro script, es decir, hemos falsificado el nombre y la extensión del fichero comprimido ... con lo que todo ello supone...
Portaros bien!
Fuente: http://www.hackplayers.com/2014/03/falsificacion-de-extensiones-winrar.html (http://www.hackplayers.com/2014/03/falsificacion-de-extensiones-winrar.html)