WINRAR: el favorito de los cibercriminales

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

No solo la vulnerabilidad crítica de Drupal está siendo explotada por los ciberdelincuentes para atacar sitios web vulnerables que aún no han aplicado parches disponibles por sus desarrolladores, sino que los piratas informáticos también están explotando una vulnerabilidad crítica de WinRAR que también se reveló la semana pasada.

Ya hace varios días que todos conocemos algo sobre una vulnerabilidad de ejecución remota de código de 19 años revelada por la gente de Check Point en la biblioteca UNACEV2.dll de WinRAR que podría permitir que un archivo de archivo ACE creado de manera malintencionada ejecute código arbitrario en un sistema específico.

WinRAR es una popular aplicación de compresión de archivos de Windows con 500 millones de usuarios en todo el mundo, pero un error crítico «Absolute Path Traversal» (CVE-2018-20250) en su antigua biblioteca de terceros, llamada UNACEV2.DLL, podría permitir a los atacantes extraer un comprimido archivo ejecutable del archivo ACE a una de las carpetas de inicio de Windows, donde el archivo se ejecutará automáticamente en el siguiente reinicio.

Para explotar con éxito la vulnerabilidad y tomar el control total de las computadoras objetivo, todo lo que un atacante debe hacer es convencer a los usuarios de que abran un archivo comprimido comprimido creado con fines malintencionados con WinRAR.

Justo un día después de la publicación en el blog de Check Point y un video de prueba de concepto (que mostraba cómo un archivo ACE puede extraer un archivo malicioso en la carpeta de inicio de Windows) se hizo público, un código de vulnerabilidad de prueba de concepto (PoC) para el nuevo Se descubrió la vulnerabilidad de WinRAR en Github.

¿Qué es más nocivo?

Los investigadores cibernéticos detectaron ayer una campaña de correo electrónico de “malspam” que distribuye un archivo malicioso RAR que explota la última vulnerabilidad de WinRAR para instalar malware en las computadoras que ejecutan la versión vulnerable del software.

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris