Agencias/Ciudad de México.- El programa de WinRar registra desde hace unos 15 años un grave agujero de seguridad que ha permitido la distribución de malware en los equipos de los usuarios en el mundo.
La culpa es de un bug en una librería para descomprimir el formato de archivos ACE.
Pues apenas dos días después de que la vulnerabilidad fuese desvelada de forma pública por los investigadores de Check Point Software (que ya habían informado a WinRar previamente), se descubrió la primera muestra de un archivo que explota el bug para instalar malware.
La firma de seguridad china, Qihoo 360, ha publicado un reporte en el que detallan no solo esa sino varias muestras de archivos que explotan la vulnerabilidad en WinRar para esparcir malware en el el ordenador de una víctima.
We're still paying up to $100,000 for #0day exploits (code execution) affecting major file archivers: WinRAR, 7-Zip, WinZip (on Windows) or tar (on Linux). For more information: https://t.co/fKnggJyb0H #BigBounties
— Zerodium (@Zerodium) October 18, 2018
Una forma en la que los atacantes utilizan este exploit es que envían archivos comprimidos a través de email, en los que insertan múltiples imágenes de mujeres como carnada para hacer que el usuario descomprima el archivo.
Y además, cifran el archivo ACE malicioso. Ya que no hay vista previa de las imágenes sin extraer el contenido, si el usuario mira una foto por curiosidad, aumentan las posibilidades de que extraiga el archivo completo y de activar la vulnerabilidad.
Estos primeros ataques podrían ser el comienzo de un brote, especialmente teniendo en cuenta que WinRar tiene millones de usuarios
Una vez que esto pasa, un ejecutable llamado “OfficeUpdateService.exe” será enviado al directorio “%AppData%\Microsoft\Windows\Start Menu\Programs\Startup“, cortesía de la vulnerabilidad en la librería para descomprimir archivos ACE, y si el usuario reinicia el ordenador o la sesión, este se ejecutará en el próximo inicio.
Ese ejecutable es una puerta trasera controlada de forma remota que puede hacer cosas cosas como permitir que el atacante gestione archivos, reinicie o apague el ordenador, instale troyanos, capture y grabe la pantalla, etc.
Check out our new anonymous bug bounty program with payments up to USD 4,000,000 for iOS zero-days without user interaction. We're paying more than @zerodium and @crowdfense and we use bitcoin or monero to protect researchers' privacy https://t.co/tQj3wfENG6 pic.twitter.com/4W9EQqrzjv
— Bugfense (@Bugfense) February 28, 2019
Los investigadores explican que este tipo de ataques están en las etapas iniciales de un brote, ya que muchos otros tipos de malware, incluyendo gusanos, pueden insertarse también en los archivos para causar aún más daños.
La solución inmediata, si eres usuarios de WinRar, es instalar la última versión del programa que ha eliminado por completo el soporte para archivos ACE para evitar verse comprometido: WinRAR 5.70 beta 1.
También podrías considerar utilizar una alternativa gratuita como 7zip que ni siquiera tiene soporte para archivos ACE, un formato antiguo y poco usado. Y no sobra el recordatorio de que tengas cuidado con los archivos que descargas de la web, especialmente si no provienen de fuentes confiables o si te resultan mínimamente sospechosos.
A handful of metrics I've cooked up over the past few weeks. ConcurrentBuffer gives almost-amazing results, but we're still a little behind what I could get with async I/O. Moving to 1MB blocks almost fixes that, but there's still a bottleneck at smaller block sizes… pic.twitter.com/55knkBdyiy
— Fantranslation (@ft_org) January 29, 2019
