WinRAR, vulnerabilidad que permite la entrada de un Malware {Seguridad}

Virus-BITSHace un mes se descubrió un grave fallo en WinRAR que llevaba más de 15 años poniendo en peligro nuestros equipos sin que nadie supiera, y ya son decenas los exploits que se están aprovechando del mismo para instalar malware. Los últimos datos nos vienen de investigadores de McAfee, la firma de seguridad ha identificado más de 100 exploits únicos desde que se desveló la vulnerabilidad, y seguirán apareciendo más, especialmente porque para muchos usuarios este problema ha pasado totalmente desapercibido.

Todas las versiones de WinRAR, excepto la última, usan una librería de terceros para descomprimir archivos ACE, una que no se ha actualizado desde el año 2005, y que es donde reside la vulnerabilidad.

Se estima que WinRAR ha amasado unos 500 millones de usuarios en casi 20 años, la vulnerabilidad lleva casi el mismo tiempo existiendo. Aunque WinRAR "resolvió" el problema eliminando el soporte para ACE por completo en la versión 5.70, se trata de una actualización manual, y si tienes WinRAR instalado, no verás ninguna notificación automática sobre por qué es necesario actualizar.

Cuando la descarga ilegal de una canción y es la puerta de entrada para un malware de WinRAR

imageLa distribución de malware está bastante enfocada en aquellos que descargan contenido sin permiso, ya que hay mucha prevalencia de archivos comprimidos en RAR. Uno de los ejemplos de explotación que nos muestran desde McAfee, viene de una copia del nuevo disco de Ariana Grande ‘Thank U, Next’.

El disco comprimido es usado como caballo de troya, dentro se encuentran los archivos MP3 completamente inofensivos, y aunque el nombre del archivo comprimido es "ArianaGrande-thanku,next(2019)[320].rar”, en realidad esconde un archivo .ACE malicioso.

Como la música es la carnada, el usuario seguramente va a descomprimir todo, y una vez que haga esto, el ACE es usado para explotar la vulnerabilidad e instalar malware en el ordenador de la víctima. Esto lo hace creando una carga maliciosa en la carpeta de inicio que no es detectada por el control de cuentas de usuario de Windows. Cuando el usuario reinicie el sistema, el malware se va a ejecutar.

Ya hace unas semanas, los investigadores de Qihoo, unos de los primeros en encontrar muestras de archivos explotando el fallo, predijeron que esto sería apenas el inicio de un gran brote, y dada la enorme cantidad de usuarios que tienen WinRAR instalado, es difícil saber el alcance total que este problema pueda tener. Lo que sabemos es que una nueva ola de malware se está aprovechando de él.

El consejo es el mismo: actualiza WinRAR o pasa a usar una alternativa como 7zip, y siempre mantén tu sistema operativo actualizado junto a alguna solución de seguridad, aunque sea solo Windows Defender.

Saludos. Roberto Di Lello

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.