Investigadores de Check Point, una firma de ciberseguridad israelí, revelaron el pasado 20 de febrero el descubrimiento de un fallo de seguridad crítico en WinRAR. Lo más grave es que la vulnerabilidad ha estado presente en la aplicación desde hace 19 años. Los responsables del hallazgo advirtieron que hackers se podrían aprovechar del problema para instalar malware en equipos, y así fue.
Un fallo en Chrome permite a terceros acceder a tus datos
En las últimas semanas se han incrementado los reportes de ciberdelincuentes usando WinRAR para ejecutar código malicioso en computadoras. Su proceso es el siguiente. En primer lugar, hacen una campaña de spam por correo electrónico para distribuir un archivo ACE, usando señuelos como imágenes para adultos para incrementar sus posibilidades de éxito.
Si el usuario lo descarga y descomprime, los archivos con malware se trasladan automáticamente a la carpeta de inicio de Windows, esperando un reinicio del ordenador para ejecutarse. Este ha sido el ejemplo más común, aunque otros hackers han preferido trasladar los archivos hacia otras ubicaciones con distintos fines.
Warning! Upgrades in the #WinRAR vulnerability (#CVE-2018-20250) exploit, use social engineering to lure victims with embedded image files and encrypt the malicious ACE archive before delivering.
— RedDrip Team (@RedDrip7) February 27, 2019
Analysis report: https://t.co/LEcRPqP0cT
Chinese version: https://t.co/wbDCdZl1YV pic.twitter.com/8cjieD1xVJ
El fallo se encuentra en la librería UNACEV2.DLL de WinRAR, la cual se usa para descomprimir archivos ACE. Los desarrolladores de la app no tenían acceso al código fuente de la librería, por ello no han podido actualizarla desde 2005. La solución fue retirar el soporte al formato ACE y ofrecer una versión —5.70 Beta 1— libre del fallo, sin embargo, los usuarios deben acceder a la web de la aplicación y actualizar manualmente.
De las 500 millones de personas que usan WinRAR, seguramente muy pocas están enteradas de la situación, dejando a la gran mayoría expuestos. McAfee, empresa especializada en seguridad informática, detectó más de 100 exploits intentando aprovechar el bug del compresor de archivos. Por supuesto, esa cifra sigue creciendo con el paso de los días. Esto nos da una idea del interés que existe por atacar equipos explotando la vulnerabilidad.
La situación encendió las alarmas en algunos gobiernos. Algunos archivos ACE se enviaron a instituciones gubernamentales de Corea del Sur poco antes de la cumbre entre Donald Trump y Kim Jong-un en Vietnam. En Ucrania, se compartió el archivo usando como señuelo una ley aprobada en aquel país. Medio Oriente está viviendo algo similar, pero con una campaña de spam que critica a las Naciones Unidas y los derechos humanos. Desafortunadamente, el problema está lejos de resolverse.
WinRAR exploit (#CVE-2018-20250) sample (united nations .rar) seems targeting the Middle East. Embedded with bait documents relating to the United Nations Human Rights and the #UN in Arabic, it finally downloads and executes #Revenge RAT.https://t.co/WJ4oJ1UxAz pic.twitter.com/fgHYSD4Mk5
— RedDrip Team (@RedDrip7) March 12, 2019