Bug De WinRAR Parchado Aún Bajo Ataque – Gracias A La Falta De Actualizaciones Automáticas
Varios grupos cibercriminales y hackers están todavía explotando una -recientemente parchada- vulnerabilidad de ejecución de código en WinRAR, una aplicación popular de comprensión de archivos con 500 millones de usuarios alrededor del mundo.
¿La razón? Todo esto se debe a que el programada WinRAR no tiene una característica de actualizaciones automáticas, lo cual, desafortunadamente, deja a sus millones de usuarios vulnerables a los ciberataques.
La vulnerabilidad crítica (CVE-2018-20250), que fue parchada a finales del mes pasado por el equipo de WinRAR con el lanzamiento de la versión 5.70 beta 1, impacta a todas las anteriores versiones de WinRAR lanzadas a lo largo de los pasados 19 años.
Para aquellos que no están alerta, la vulnerabilidad es un bug de “Absolute Path Traversal” que reside en la antigua librería externa UNACEV2.DLL, y que permite a los atacantes extraer un archivo ejecutable comprimido desde el archivo ACE a una de las carpetas de Windows Startup, así el archivo malicioso será ejecutado automáticamente en el siguiente reboot.
Por lo tanto, para explotar esta vulnerabilidad automáticamente y tomar control total de los ordenadores, todo lo que un atacante necesita hacer es convencer a los usuarios de abrir un archivo comprimido malicioso con WinRAR.
Inmediatamente después de que los detalles y el código de la vulnerabilidad sean hechos públicos, los hackers empezaron a explotar esta vulnerabilidad en una campaña de spam de email para instalar malware en los ordenadores de los usuarios corriendo la versión vulnerable del software.
Ahora, los investigadores de seguridad de McAfee reportaron que han identificado más de “100 amenazas únicas y contando”, en la primera semana desde que la vulnerabilidad se ha hecho pública, con la mayoría de los objetivos iniciales residiendo en Estados Unidos.
Una recienta campaña camuflada por hackers usando una copia ilícita de un álbum de Ariana Grande, está actualmente siendo detectada como malware por sólo 11 productos de seguridad, mientras que 53 antivirus fallan al alertar a sus usuarios a la hora de escribir.
El archivo RAR malicioso (Ariana_Grande-thank_u,_next(2019)_[320].rar) detectado por McAfee extrae una lista de archivos MP3 sin daño aparente a la carpeta de descargas de la víctima, pero también deja un archivo EXE malicioso en la carpeta de startup de Windows. Este EXE ha sido diseñado para infectar al usuario con malware.
“Cuando una versión vulnerable de WinRAR es usada para extraer el contenido de este archivo, un archivo adicional es creado en la carpeta de Startup de Windows, de manera silenciosa”, explicaron los analistas.
“El Control de Acceso de Usuario es eludido, así ninguna alerta es mostrada al usuario. La próxima vez que el sistema reinicie, el malware es ejecutado.”
Desafortunadamente, estas campañas aún están activas, y la mejor manera de protegerte a ti mismo es instalando la última versión de WinRAR, tan pronto como sea posible, y evitando abrir archivos recibidos de fuentes desconocidas.