Investigadores de Check Pont han sido los encargados de descubrir un fallo en WinRAR. Un fallo que lleva ya casi dos décadas presente en el mismo. Tiene su origen en una antigua DLL de 2006, que no tenía los mecanismos de protección necesarios. Debido a este fallo, podría haber unos 500 millones de usuarios en riesgo. Esta semana se detectaba el primer exploit, que era enviado a través de un correo que incluía un archivo RAR como adjunto.
Detectado un exploit que aprovecha un fallo en WinRAR para instalar un backdoor
El fallo concreto radica en una librería de terceras partes que se llama UNACEV2.DLL. Como medida, se ha lanzado una beta en la que se elimina la misma. Dejando de dar soporte a los archivos ACE de esta manera.
Possibly the first malware delivered through mail to exploit WinRAR vulnerability. The backdoor is generated by MSF and written to the global startup folder by WinRAR if UAC is turned off.https://t.co/bK0ngP2nIy
IOC:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443 pic.twitter.com/WpJVDaGq3D— RedDrip Team (@RedDrip7) February 25, 2019
Fallo en WinRAR
Ayer mismo se detectaba el primer exploit que intenta implantar un backdoor en un ordenador infectado. Por lo que parece ser el primero que quiere aprovechar este fallo en WinRAR. Aunque esto no quiere decir que no haya otros, que todavía no se han podido descubrir. Cuando han examinado el mencionado archivo RAR adjunto, del que hemos hablado antes, se ha podido ver que se intentaba extraer un archivo en la carpeta de inicio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.
Cuando esto pasa, se copia el archivo a %Temp%\ para luego ejecutar el archivo wbssrv.exe, como han dicho los investigadores. Una vez se ejecuta el código malicioso, se descarga Cobalt Strike Beacon DLL, que usan cibercriminales para acceder de manera remota a equipos.
[irp]Se recomienda a los usuarios actualizar a la versión más reciente de WinRAR, que la empresa ha puesto ya a su disposición en la web. Para descargarla hay que entrar en este enlace.