15 años después y se descubre que WinRar tiene una gran vulnerabilidad en seguridad, que ya comienza a ser explotada para esparcir malware

Investigadores de la empresa de seguridad Check Point descubrieron una falla de seguridad en WinRar, el famosísimo programa de compresión y descompresión de archivos, que se cree existente desde hace 15 años.

Esta vulnerabilidad se encuentra en una librería para Windows llamada unacev2.dll utilizada durante la compresión/descompresión de archivos ACE, un formato que ya no es usado por ser bastante viejo. Winrar utiliza esta librería, que es de terceros, y esta librería resulta que no ha sido actualizada desde el 2005. Por esto mismo  WinRar no tiene acceso a su código y no han podido corregir esta vulnerabilidad. Su solución ha sido, momentáneamente, eliminar el soporte para ACE en la versión beta actual 5.70. 

Y no es sorpresa que apenas dos días después de que esta vulnerabilidad fuera desvelada de forma pública (la cual ya se había informado a WinRar previamente), se descubrió la primera muestra de un archivo que explota el bug para instalar malware. La firma de seguridad China, Qihoo 360, publicó en un reporte en el que muestran archivos que explotan precisamente la vulnerabilidad.

No es más que una combinación de ingeniería social y cifrado, al enviar archivos comprimidos por correo, insertando múltiples imágenes de mujeres para que el usuario descomprima el archivo. Dentro de este, el archivo ACE está cifrado. Una vez sucede esto, un ejecutable llamado OfficeUpdateService.exe será enviado al directorio:

%AppData%\Microsoft\Windows\Start Menu\Programs\Startup

gracias a la vulnerabilidad de la librería para ACE, ejecutándose cuando el ordenador se reinicie. 

Este ejecutable es un RAT, un Remote Access Trojan, que le permite al atacante gestionar archivos, reiniciar o apagar el ordenador, capturar eventos del teclado y pantalla, etc.

Así que la recomendación es descargar la última versión beta de WinRar, o bien utilizar otro software, como 7zip.

Vía | PCMag