AFS Informática

Suscríbete ahora a nuestra Newsletter

WinRAR es uno de los programas para Windows más descargados de la historia, acumulando ya miles de millones de descargas. Sin embargo, el programa lleva casi 19 años teniendo una vulnerabilidad.

Han sido investigadores de Check Point los que han publicado los detalles técnicos de esta vulnerabilidad en WinRAR, que afecta a todas las versiones lanzadas en los últimos años. El fallo se encuentra en una librería de terceros llamada UNACEV2.DLL. Esta librería permite descomprimir archivos que están comprimidos usando el formato ACE. La última versión compilada es de 2006 y la aplicación WinAce original permanece discontinuada desde 2007.

El problema reside en que WinRAR detecta el formato de los archivos basándose en su contenido, y no en la extensión, por lo que simplemente pueden cambiar la extensión .ACE a .RAR para que parezca un archivo normal de WinRAR. El fallo permite a un atacante ejecutar código arbitrario en un ordenador que intente descomprimir el archivo siempre que se usen versiones vulnerables del programa, en un fallo conocido como «Absolute Path Traversal».

Gracias a este fallo, el atacante puede elegir la ruta en la que quiere que se descomprima el archivo, independientemente de la que haya elegido el usuario. Los investigadores demuestran esta función descomprimiendo el archivo en el escritorio, pero en realidad se está creando un archivo malicioso en formato .EXE en Inicio, de tal manera que cuando el ordenador se encienda, el archivo se abrirá automáticamente.

Ya ha salido el primer exploit que aprovecha esta vulnerabilidad

Ya se ha detectado lo que podría ser el primer exploit que busca aprovecharse de este fallo crítico, el cual era distribuido a través de un correo que incluía un archivo RAR como adjunto.

A partir del hallazgo de este fallo en la librería y dado que no era posible repararlo, WinRAR lanzó la versión beta 5.70 de WinRAR en la que removió la librería y por lo tanto dejó de dar soporte a los archivos ACE. Pero los aproximadamente 500 millones de usuarios que WinRAR tiene y que utilizan versiones anteriores a la 5.70 aún están expuestos.

Investigadores de 360 Threat Intelligence Center publicaron el pasado 27 de febrero a través de su cuenta de Twitter el hallazgo de un exploit que intenta implantar un backdoor en el ordenador infectada indicando que podría tratarse del primer exploit que busca aprovecharse de este fallo.

Después de examinar el archivo RAR adjunto, corroboraron que el exploit intenta extraer un archivo en la carpeta de inicio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\. Una vez extraído el archivo, cuyo nombre es CMSTray.exe, la próxima vez que se inicie el equipo se ejecutará y copiará el archivo a %Temp%\ para luego ejecutar el archivo wbssrv.exe, explicó BleepingComputer.

Una vez ejecutado, el código malicioso se conectará a una dirección desde la cual descargará varios archivos, entre los cuales está la herramienta de pentesting Cobalt Strike Beacon DLL, la cual también es utilizada por los cibercriminales para acceder de manera remota a un equipo infectado. De esta manera, los cibercriminales serán capaces de acceder de manera remota al equipo infectado para ejecutar comandos y propagarse dentro de la red.

Habiendo visto esto, es importante que los usuarios actualicen lo antes posible a la versión 5.70 de WinRAR para estar protegidos de esta campaña, así como también de otras campañas que intenten aprovecharse de este fallo en el futuro.

Si no se quiere o no se puede actualizar WinRAR, recomendamos eliminar directamente el archivo UNACEV2.DLL que está alojado dentro de la carpeta de instalación de WinRAR.

Auditorías de Seguridad en Málaga


Desde AFS Informática recomendamos realizar auditorías periódicas y planes de concienciación continua de la Ciberseguridad dentro de la empresa.

¿Te pareció interesante este artículo? Compártelo y ayúdanos a mejorar

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram

Puede que también te interese leer...

Diego Ariza

Perito Judicial Informático, experto en Informática Forense, Ciberseguridad y en Derecho Tecnológico. Certificaciones profesionales en Hacking Ético y Hacking Ético Experto, Hacking y auditorías Web y Hacking a dispositivos móviles. Consultoría y asesoramiento para empresas. Experto en desarrollo y securización de plataformas basadas en WordPress. Experto en implantación y auditoría de las principales normativas relacionadas con la seguridad para empresas: RGPD, ISO 27001, Esquema Nacional de Seguridad. Cibercooperante con el Instituto Nacional de Ciberseguridad de España (INCIBE), formador y ponente.

AFS Informática como Marca Blanca

Ofrece y externaliza nuestros servicios de Seguridad. Nunca contactaremos con tus clientes. Especial para gestorías, asesorías, bufetes de abogados, comerciales independientes, grandes empresas, etc...

Perito Judicial Informático Forense

¿Has sido o estás siendo víctima de una estafa o ataque informático?

Abrir chat