Según diversos reportes de firmas de seguridad, la última versión de WinRAR contiene una vulnerabilidad descubierta que supone un grave problema para miles de usuarios pues puede ejecutar código malicioso como descomprimir un archivo SFX, sin que el usuario lo sepa.
Los archivos del tipo SFX correponden aquellos adicionales al software original y en donde se encuentra una carpeta adicional que descomprime un parche para poder saltarse la autenticación. Esta falla permite que un atacante pueda camuflar un virus en un archvio comprimido con este programa y lo comparta para infectar al que lo reciba y acceda a él. Se sugiere por lo pronto no abrir correos con archivos en este formato hasta que la empresa anuncie un parche.
El investigador Mohammad Reza Espargham reportó una vulnerabilidad RCE en WinRAR, la popular herramienta de compresión de archivos, que permite a un atacante la ejecución remota de código arbitrario (Remote Code Execution) cuando se abra un archivo auto extraíble (SFX, del inglés Self extracting).
Según el informe, se trata de una vulnerabilidad crítica con una calificación 9 en la escala CVSS, y esto tiene sentido si consideramos que WinRAR afirma ser utilizado por más de 500 millones de usuarios a nivel mundial para comprimir archivos, almacenarlos en forma organizada y transferirlos por correo electrónico rápidamente.
¿En qué consiste esta vulnerabilidad RCE en WinRAR?
Fue encontrada específicamente en el software SFX v5.21, y permite a atacantes ejecutar código en forma remota para comprometer un equipo. Como todavía no hay un parche que la corrija, se trata de un 0-day, por lo que será necesario actualizar el programa apenas se publique la solución.
El problema radica en la función “texto e ícono”, dentro de la ventana que permite elegir el texto a mostrar en la ventana SFX. Allí, el atacante debería insertar código HTML malicioso. “Los atacantes remotos pueden generar sus propios archivos comprimidos con payloads maliciosos para que ejecuten códigos específicos en el sistema, para comprometerlo”, explica el reporte.
Por lo tanto, cuando el sistema víctima esté procesando la apertura del archivo comprimido, el atacante puede ejecutar los comandos maliciosos específicos y compromter el equipo, el sistema, e incluso la red. Para hacerlo no requiere mucha interacción del usuario, excepto abrir el archivo, lo cual puede hacer sin privilegios de sistema o cuentas restringidas.
El siguiente video es una prueba de concepto realizada por Mohammad Reza:
