Hacia el final del mes pasado, los investigadores de seguridad revelaron detalles de un error crítico en ese incondicional del mundo de la compresión, WinRAR. El error tiene muchos años y, aunque se relaciona con el formato ACE de uso poco frecuente y desde entonces se ha revisado, se ha descubierto que los hackers lo están explotando activamente desde que se hizo público.
El error de 19 años en el archivo UNACEV2.DLL (CVE-2018-20250) permite que un atacante ejecute archivos maliciosos ocultos en archivos comprimidos.
Se han encontrado más de 100 exploits que aprovechan a las personas que aún no se han actualizado a una versión segura del software … y ese número está creciendo. McAfee informa de los atacantes que usan el álbum de Ariana Grande “Thank U, Next” como un incentivo para alentar a las víctimas a que extraigan archivos peligrosos, pero otros investigadores de seguridad informan el uso de imágenes.
En una publicación del blog, Craig Schmugar de McAfee informa que “en la primera semana desde que se reveló la vulnerabilidad, McAfee ha identificado más de 100 ataques y conteos únicos”. La mayoría de estos casos son en los Estados Unidos. Explica cómo engañan a las víctimas para que instalen malware en sus sistemas:
Un ejemplo reciente se extrae de una copia pirata del exitoso álbum de Ariana Grande “Thank U, Next” con un nombre de archivo de “Ariana_Grande-thank_u, _next (2019) _ [320] .rar”
Cuando se utiliza una versión vulnerable de WinRAR para extraer el contenido de este archivo, se crea una carga maliciosa en la carpeta de inicio detrás de la escena. El Control de cuentas de usuario (UAC) no se aplica, por lo que no se muestra ninguna alerta al usuario. La próxima vez que se reinicia el sistema, se ejecuta el malware.
Para ayudar a mitigar los ataques, se lanzó una actualización para WinRAR que elimina el soporte para el formato ACE poco utilizado y elimina el archivo UNACEV2.DLL vulnerable. Al lanzar WinRAR 5.70, RAR Labs explicó:
WinRAR siempre ha sido conocido por su amplio soporte para todos los formatos de compresión populares. Un informe reciente de Check Point Software reveló una vulnerabilidad de seguridad potencial en la biblioteca UNACEV2.DLL, que se utilizó en versiones anteriores de WinRAR para descomprimir archivos ACE. No se han reportado ataques hasta el momento, pero para proporcionar a los usuarios de WinRAR una versión estable y limpia, se lanzó la versión final de WinRAR 5.70. Dado que UNACEV2.DLL no se había actualizado desde 2005 y el acceso a su código fuente no está disponible, se tomó la decisión de abandonar el soporte de archivos ACE a partir de WinRAR 5.70. Ahora, después del lanzamiento de la versión final y estable de WinRAR 5.70, se recomienda actualizar inmediatamente a la nueva versión 5.70.
Para los usuarios que no están interesados en una actualización o que no encuentran una versión localizada de WinRAR 5.70, el consejo de win.rar GmbH es eliminar el archivo UNACEV2.DLL de su versión actual de WinRAR para volver a protegerlo de manera confiable. Todos los usuarios de WinRAR 5.10 o cualquier versión más reciente pueden encontrar el archivo UNACEV2.DLL en la carpeta del programa WinRAR. Los usuarios de WinRAR de versiones anteriores a 5.10 pueden encontrar el archivo UNACEV2.DLL en la subcarpeta Formatos del programa WinRAR.
Sin embargo, el problema es que si bien WinRAR está instalado en una gran cantidad de sistemas, es una herramienta shareware que muchos usuarios han instalado solo para uso ocasional y es poco probable que estas personas estén conscientes de que existe un problema de seguridad que requiere una actualización. Para ser instalado.