# CVE-2023-38831 - WinRAR Remote Code Execution
> [!high] CVSS: 7.8 (Alto) · Vendor: RARLAB · CISA KEV: Sim (2023-10-10) · Explorado por APT28, APT29, Cl0p · EPSS: 93,78% (percentil 100)
## Visão Geral
CVE-2023-38831 é uma vulnerabilidade crítica de execução remota de código no utilitário de compactação [[WinRAR]], explorada ativamente por grupos APT de estado-nação e organizações criminosas desde abril de 2023 - meses antes de sua divulgação pública. A falha permite que um atacante execute código arbitrário no sistema da vítima simplesmente induzindo-a a abrir um arquivo ZIP malicioso e clicar em um arquivo aparentemente legítimo contido nele. O impacto é imediato e direto: execução de código no contexto do usuário sem necessidade de privilégios elevados.
A vulnerabilidade foi descoberta e divulgada pela Group-IB em agosto de 2023. Na época, o WinRAR era utilizado por mais de 500 milhões de usuários globalmente, e o PoC estava disponível públicamente poucas horas após a divulgação. O [[g0007-apt28|APT28]] (Fancy Bear, ligado ao GRU russo), o [[g0016-apt29|APT29]] (Cozy Bear, ligado ao SVR russo) e o grupo [[cl0p|Cl0p]] foram documentados explorando a vulnerabilidade em campanhas distintas, demonstrando o alcance e a atratividade da falha para atores de diferentes motivações.
A inclusão no catálogo CISA KEV em outubro de 2023 confirmou exploração ativa e estabeleceu prazo obrigatório de remediação para agências federais americanas. Para o Brasil, onde o WinRAR mantém penetração superior a 70% em máquinas Windows, o risco permanece elevado mesmo anos após a divulgação, devido à lenta adoção de patches em ambientes corporativos e domésticos.
> [!latam] Impacto no Brasil e LATAM
> O WinRAR domina o mercado de compactadores no Brasil, presente em mais de 70% das máquinas Windows corporativas e domésticas. Campanhas de phishing em português explorando CVE-2023-38831 foram detectadas ao longo de 2023 e 2024, com documentos disfarçados de boletos, contratos e comúnicados oficiais. Os setores financeiro e governo foram os mais impactados. A lenta adoção de patches - muitos usuários usam versões piratas ou antigas sem atualização automática - mantém o risco operacional elevado mesmo após a disponibilidade do patch. CERT.br emitiu alerta específico sobre a vulnerabilidade.
## Produtos Afetados
| Produto | Versões Afetadas | Versão Corrigida |
|---------|-----------------|-----------------|
| WinRAR | < 6.23 | 6.23 (lançada 2023-08-02) |
## Descrição Técnica
A falha explora uma ambiguidade no processamento de nomes de arquivos dentro de arquivos ZIP. Quando um arquivo ZIP contém:
- Um arquivo benigno (ex: `documento.pdf`)
- Uma pasta com o mesmo nome seguido de espaço (ex: `documento.pdf ` com espaço)
Ao clicar no arquivo benigno, o WinRAR na verdade executa um script ou executável malicioso dentro da pasta homônima. O usuário vê o nome do arquivo legítimo, mas o WinRAR executa o malware.
- **Exploração**: Requer que o usuário abra o arquivo ZIP malicioso e clique no arquivo aparentemente legítimo
- **Resultado**: Execução de código arbitrário no contexto do usuário
- **PoC**: Disponível públicamente desde agosto de 2023
## Exploração por Múltiplos Atores
### APT28 (Fancy Bear)
O [[g0007-apt28|APT28]] utilizou CVE-2023-38831 em campanhas de spear-phishing contra organizações governamentais e militares, distribuindo arquivos ZIP disfarçados de documentos oficiais.
### APT29 (Cozy Bear)
O [[g0016-apt29|APT29]] incorporou a vulnerabilidade em campanhas de espionagem, principalmente contra alvos diplomáticos na Europa.
### Cl0p
O grupo [[cl0p|Cl0p]] utilizou a vulnerabilidade em campanhas de ransomware e extorsão, frequentemente combinada com outros vetores de acesso inicial.
## Linha do Tempo
- **Início da exploração**: Abril de 2023 (antes da divulgação pública)
- **Divulgação**: Agosto de 2023 (Group-IB)
- **Patch lançado**: 2 de agosto de 2023 (WinRAR 6.23)
- **CISA KEV**: 10 de outubro de 2023
- **PoC público**: Disponível imediatamente após divulgação
## Impacto no Brasil
O WinRAR tem penetração estimada superior a 70% em máquinas Windows no Brasil, onde é amplamente utilizado tanto em ambientes corporativos quanto domésticos. Esta prevalência torna o CVE-2023-38831 especialmente relevante para o cenário de ameaças brasileiro:
- Setores [[financial]] e [[government]] com alto risco
- Campanhas de phishing em português explorando a vulnerabilidade foram detectadas
- Adoção lenta de patches - muitos usuários utilizando versões antigas do WinRAR
## Remediação
1. **Atualizar** o WinRAR para versão 6.23 ou superior imediatamente
2. **Considerar** migração para alternativas (7-Zip, Windows nativo) em ambientes corporativos
3. **Implementar** controles de execução de aplicativos (AppLocker, Windows Defender Application Control)
4. **Treinar** usuários sobre riscos de abrir arquivos compactados de fontes desconhecidas
5. **Monitorar** execução de processos originados por WinRAR
## Verificação de Versão
```
# Verificar versão do WinRAR instalada
winrar.exe /?
# Ou via registro:
# HKLM\SOFTWARE\WinRAR\General\ExeDir
```
## Referências
- [Group-IB Research - Original Disclosure](https://www.group-ib.com/blog/CVE-2023-38831-winrar-zero-day/)
- [CISA Known Exploited Vulnerabilities](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
- [RARLAB Security Advisory](https://www.rarlab.com/security/rarlab_security_advisory.html)
- [CERT.br Alerta](https://www.cert.br/)
## Relações
- Explorada por: [[g0007-apt28|APT28]], [[g0016-apt29|APT29]], [[cl0p|Cl0p]]
- Técnica de acesso inicial: [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]]
- Técnica de execução: [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]]
- Afeta setor: [[financial]], [[government]], [[technology]]
- Alta relevância: [[latam|Brasil]] - alta penetração do WinRAR
---
## Detecção e Resposta
> [!warning] Aviso sobre as regras abaixo
> As regras e consultas a seguir são **exemplos e pontos de partida**. Devem ser revisadas,
> testadas e adaptadas ao seu ambiente específico antes de serem implantadas em produção.
> Falsos positivos e negativos são esperados - tuning contínuo é necessário. Valide sempre
> contra sua telemetria antes de ativar alertas.
### Splunk SPL
```spl
index=windows (sourcetype=XmlWinEventLog:Microsoft-Windows-Sysmon/Operational OR sourcetype=WinEventLog:Security)
(EventCode=1 OR EventCode=4688)
parent_process_name="WinRAR.exe"
process_name IN ("cmd.exe", "powershell.exe", "pwsh.exe", "wscript.exe", "cscript.exe", "mshta.exe", "rundll32.exe", "regsvr32.exe")
| eval indicador="WinRAR spawning shell - CVE-2023-38831"
| table _time, host, user, parent_process_name, process_name, cmdline, process_path
```
Complementar - criação de arquivo com dupla extensão no diretório temporário do WinRAR:
```spl
index=windows sourcetype=XmlWinEventLog:Microsoft-Windows-Sysmon/Operational EventCode=11
Image="*\\WinRAR.exe"
TargetFilename="*\\AppData\\Local\\Temp\\Rar$*"
| regex TargetFilename="\.[a-zA-Z0-9]{1,4} \."
| table _time, host, user, Image, TargetFilename
```
Fonte de dados requerida: Sysmon (EventID 1, 11), Windows Security Event Log (EventID 4688)
### Microsoft Sentinel (KQL)
```kql
// Detecta WinRAR spawning interpretadores de shell - indicador de CVE-2023-38831
DeviceProcessEvents
| where TimeGenerated > ago(7d)
| where InitiatingProcessFileName =~ "WinRAR.exe"
| where FileName in~ ("cmd.exe", "powershell.exe", "pwsh.exe", "wscript.exe",
"cscript.exe", "mshta.exe", "rundll32.exe", "regsvr32.exe")
| project TimeGenerated, DeviceName, AccountName, InitiatingProcessFileName,
FileName, ProcessCommandLine, InitiatingProcessCommandLine, SHA256
| order by TimeGenerated desc
```
```kql
// Caça criação de arquivos com dupla extensão e espaço no diretório temp do WinRAR
DeviceFileEvents
| where TimeGenerated > ago(7d)
| where InitiatingProcessFileName =~ "WinRAR.exe"
| where FolderPath contains @"\AppData\Local\Temp\Rar
quot;
| where FileName matches regex @"\.[a-zA-Z0-9]{1,4} \."
| project TimeGenerated, DeviceName, AccountName, FileName, FolderPath,
InitiatingProcessFileName, SHA256
```
Tabela(s): `DeviceProcessEvents`, `DeviceFileEvents`
### Sigma Rule
```yaml
title: Detect CVE-2023-38831 WinRAR Exploitation - Suspicious Child Process
id: c7a3f1b2-8e94-4d67-b123-ab9876543210
status: experimental
description: >
Detecta exploração de CVE-2023-38831 - WinRAR RCE via arquivo ZIP com extensão spoofada.
A exploração resulta em WinRAR.exe spawning interpretadores de shell a partir do diretório
temporário de extração (AppData\Local\Temp\Rar$), padrão raramente legítimo.
references:
- [[t1203-exploitation-client-execution]]
- https://www.group-ib.com/blog/CVE-2023-38831-winrar-zero-day/
- https://detection.fyi/sigmahq/sigma/emerging-threats/2023/exploits/CVE-2023-38831/proc_creation_win_exploit_cve_2023_38831_winrar_child_proc/
logsource:
category: process_creation
product: windows
detection:
selection_parent:
ParentImage|endswith: '\WinRAR.exe'
selection_child:
Image|endswith:
- '\cmd.exe'
- '\powershell.exe'
- '\pwsh.exe'
- '\wscript.exe'
- '\cscript.exe'
- '\mshta.exe'
- '\rundll32.exe'
- '\regsvr32.exe'
selection_path:
ParentCommandLine|contains: '\AppData\Local\Temp\Rar