La semana pasada se lanzo una actualización de WinRAR con el objetivo de corregir una vulnerabilidad de navegación en los directorios, la cual se dio a conocer como WinRAR 7.13. No obstante, no ha sido hasta hoy que se tiene información importante acerca de este exploit, y todo gracias al trabajo de los investigadores de ESET. Cabe mencionar que dichos investigadores fueron los que descubrieron que la vulnerabilidad estaba siendo utilizada activamente.
De acuerdo al informe, la vulnerabilidad se ha detectado en el componente UNRAR.dll, se trata de una biblioteca que se encarga de gestionar la extracción de archivos. El modus operandi de los atacantes era crear un archivo malicioso que pueda engañar al software para que escriba un archivo en la ubicación que elijan, en lugar del directorio seleccionado por el usuario.
Si usas WinRAR actualiza ya
Según han informado los investigadores de ESET, los atacantes aprovechan está vulnerabilidad para instalar cargar útiles en ubicaciones sensibles del sistema, como por ejemplo, la carpeta de inicio. Cuando el atacante introduce un ejecutable en la ruta %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup, el código malicioso se ejecuta automáticamente al iniciar sesión el usuario. Este procedimiento le permite al atacante ejecutar código remoto malicioso en el dispositivo comprometido.
Al extraer un archivo, las versiones anteriores de WinRAR, las versiones de RAR para Windows, UnRAR, el código fuente portátil de UnRAR y UnRAR.dll pueden ser engañadas para que utilicen una ruta, definida en un archivo especialmente diseñado, en lugar de la ruta especificada por el usuario.
De acuerdo a las investigaciones, se cree que el grupo detrás de estos ataques es RomCom, este troyano de acceso remoto se ha venido utilizando al menos desde 2022. Su funcionamiento es a base de engaño, engaña a los usuarios mediante ingeniería social, a veces hasta suplanta sitios web populares como KeePass.
De esta manera, cuando un usuario inocente descarga el instalador, el RAT se instala junto con él. Curiosamente, el grupo ha centrado sus operaciones en países como Ucrania y varios países de la OTAN .
Cabe mencionar que está no es la primera vez que WinRAR se enfrenta a este tipo de problemas, anteriormente la compañía detrás del software había librado una batalla que soluciono en la versión 7.12, dicha vulnerabilidad afectaba a las versiones 7.11 y anteriores.
WinRAR a la fecha no cuenta con un mecanismo de actualización automática, por lo que los usuarios deben visitar su sitio web para descargar la versión 7.13 y así estar protegido. Por último, los desarrolladores de WinRAR aseguran que las versiones de Unix, Android no se ven afectadas.
¿Ya actualizaste?¿Utilizas está herramienta de compresión? – Coméntanos tu opinión en los comentarios.
