Se recomienda a los usuarios que actualicen sus instalaciones de WinRar para corregir dos fallas críticas que los atacantes podrían aprovechar para ejecutar código arbitrario. Utilizado desde hace mucho tiempo y muy popular en Internet, el formato de archivo RAR, asociado a WinRar, ya ha sido objeto de abuso y explotación por parte de los ciberdelincuentes.

Índice
  1. Posible ejecución de código malicioso
  2. Una operación de larga data

Posible ejecución de código malicioso

La primera vulnerabilidad, con referencia CVE-2023-40477, fue descubierta por un investigador identificado con el seudónimo "goodbyeselene" que lo informó a través de Programa de Iniciativa de Día Cero (ZDI) de Trend Micro. Tiene una puntuación de 7,7 en la escala CVSS (Common Vulnerability Scoring System), que corresponde a una gravedad alta. "Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones RARLAB WinRar afectadas". ¿Podemos leer en el aviso ZDI?. "Se requiere la interacción del usuario para aprovechar esta vulnerabilidad porque el objetivo debe visitar una página maliciosa o abrir un archivo malicioso". La falla provoca un desbordamiento del búfer relacionado con la forma en que WinRar procesa los volúmenes de recuperación (archivos .REV). Los “volúmenes de recuperación” son archivos especiales creados por WinRar cuando un archivo se divide en varias partes (volúmenes). Permiten que el programa reconstruya un archivo perdido o dañado en un conjunto de volúmenes. El problema se debe a una validación inadecuada de los datos proporcionados por el usuario en archivos .REV, lo que puede provocar que se acceda a la memoria más allá del búfer asignado. Este problema se puede aprovechar para ejecutar código en el contexto del proceso WinRar.

En cuanto a la segunda vulnerabilidad, mencionado en las notas del parche WinRar 6.23puede provocar la ejecución de un archivo incorrecto cuando el usuario hace doble clic en un elemento dentro de un archivo especialmente diseñado. Andrey Polovinkin, de la unidad de inteligencia de amenazas del Grupo IB, informó sobre este problema, pero no está claro si lo descubrió él mismo o vio cómo se utilizaba en los ataques.

Una operación de larga data

Creado en 1993, el formato de archivo RAR debe su popularidad a su alta tasa de compresión y a su capacidad para crear archivos divididos, es decir, divididos en partes más pequeñas. Esta división facilitó la distribución de archivos grandes en una época en la que, en los primeros días de Internet, la inestabilidad de la red podía conducir fácilmente a la corrupción de los archivos descargados. A pesar de su formato propietario, RAR sigue siendo popular hoy en día. Es por eso que Microsoft está probando compatibilidad nativa de solo lectura para este y otros formatos de archivo como 7z en Windows 11. Hasta entonces, los usuarios tendrán que confiar en el Administrador de archivos. Archivos WinRar para crear o descomprimir dichos archivos, algo que hacen más de 500 millones de usuarios, según los desarrolladores del programa.

Esta gran popularidad del formato de archivo RAR también ha llevado a los ciberdelincuentes a adoptarlo para distribuir malware por correo electrónico, ya sea en forma de archivos adjuntos o de URL que apunten a estos archivos. El hecho de que el formato también admita la protección de archivos mediante contraseña lo ha convertido en un buen vector de distribución para los atacantes, ya que las soluciones de seguridad del correo electrónico no pueden descomprimir ni analizar automáticamente el contenido de los archivos protegidos mediante contraseña. El propio WinRar ya ha sido blanco de ataques. En 2019, los atacantes explotaron un problema de ejecución remota de código en el manejo de archivos .ACE por parte de WinRar. (WinRar puede gestionar otros tipos de archivos además de RAR). Dado que los desarrolladores de WinRar ya no tenían acceso al código fuente del componente que manejaba el formato propietario ACE, eliminaron por completo su soporte en versiones posteriores después de que se descubrió la falla.