No ha pasado ni un mes desde que se descubriera un grave fallo en WinRAR que llevaba más de 15 años poniendo en peligro nuestros equipos sin que nadie supiera, y ya son decenas los exploits que se están aprovechando del mismo para instalar malware.
Los últimos datos nos vienen de investigadores de McAfee, la firma de seguridad ha identificado más de 100 exploits únicos desde que se desveló la vulnerabilidad, y seguirán apareciendo más, especialmente porque para muchos usuarios este problema ha pasado totalmente desapercibido.
Todas las versiones de WinRAR, excepto la última, usan una librería de terceros para descomprimir archivos ACE, una que no se ha actualizado desde el año 2005, y que es donde reside la vulnerabilidad.
Se estima que WinRAR ha amasado unos 500 millones de usuarios en casi 20 años, la vulnerabilidad lleva casi el mismo tiempo existiendo. Aunque WinRAR "resolvió" el problema eliminando el soporte para ACE por completo en la versión 5.70, se trata de una actualización manual, y si tienes WinRAR instalado, no verás ninguna notificación automática sobre por qué es necesario actualizar.
Cuando descargas una canción y es malware de WinRAR
La distribución de malware está bastante enfocada en aquellos que descargan contenido sin permiso, ya que hay mucha prevalencia de archivos comprimidos en RAR. Uno de los ejemplos de explotación que nos muestran desde McAfee, viene de una copia del nuevo disco de Ariana Grande 'Thank U, Next'.
El disco comprimido es usado como caballo de troya, dentro se encuentran los archivos MP3 completamente inofensivos, y aunque el nombre del archivo comprimido es "Ariana_Grande-thank_u,_next(2019)_[320].rar”, en realidad esconde un archivo .ACE malicioso.
Como la música es la carnada, el usuario seguramente va a descomprimir todo, y una vez que haga esto, el ACE es usado para explotar la vulnerabilidad e instalar malware en el ordenador de la víctima. Esto lo hace creando una carga maliciosa en la carpeta de inicio que no es detectada por el control de cuentas de usuario de Windows. Cuando el usuario reinicie el sistema, el malware se va a ejecutar.
Ya hace unas semanas, los investigadores de Qihoo, unos de los primeros en encontrar muestras de archivos explotando el fallo, predijeron que esto sería apenas el inicio de un gran brote, y dada la enorme cantidad de usuarios que tienen WinRAR instalado, es difícil saber el alcance total que este problema pueda tener. Lo que sabemos es que una nueva ola de malware se está aprovechando de él.
El consejo es el mismo: actualiza WinRAR o pasa a usar una alternativa como 7zip, y siempre mantén tu sistema operativo actualizado junto a alguna solución de seguridad, aunque sea solo Windows Defender.
Ver 14 comentarios