Continúa la avalancha de exploits que se aprovechan de una antigua vulnerabilidad de WinRAR

Actualidadvulnerabilidad
fallos de seguridad

Una vulnerabilidad en WinRAR divulgada en febrero, identificada como CVE-2018-20250, se está convirtiendo en la vulnerabilidad más explotada de los últimos tiempos.

La última evidencia es un informe del equipo Microsoft Office 365 Threat Research que ha señalado que está siendo utilizada por el grupo MuddyWater APT para atacar organizaciones en el sector de satélites y comunicaciones.

Para los que desconozcan WinRAR, se trata de una aplicación muy popular en Windows utilizada para comprimir archivos y que nació en los 90, pero que una empresa de seguridad descubrió que tenía una grave vulnerabilidad RCE desde hace 19 años.

Los ciberdelincuentes no podían dejar pasar una oportunidad como esta, por lo que a los pocos días de divulgarse la vulnerabilidad ya existían más de 100 exploits.

El explotar la vulnerabilidad dependía de un formato de fichero ya desaparecido llamado ACE, que WinRAR no soporta desde la versión 5.71 beta, tras ser informados del problema antes de que fuera divulgado.

Eso ocurrió semanas antes de que se hiciera público el problema, pero desafortunadamente la muchos no se enteraron por lo que no lo actualizaron.

En ese sentido, la entrada en el blog de Microsoft que alerta sobre los ataques dirigidos es una llamada de atención para que las organizaciones e individuales actualicen sus equipos lo antes posible.

Detectado a principios de marzo, se trata de un sofisticado ataque de phishing conectado a una nación (de ahí las siglas APT: amenaza persistente avanzada), que utiliza un fichero adjunto Word que pretende provenir  del Ministro de Exteriores de Afganistán. Al abrirlo desencadena una descarga desde un enlace OneDrive (ahora inactivo) que contiene un segundo archivo Word que embebido tiene un macro que inicia el malware.

En este caso se trata de un script PowerShell, que abre una puerta trasera para que el atacante entregue el fichero malicioso ACE con el exploit para el CVE-2018-20250.

El ciberdelincuente todavía necesita engañar al usuario para que reinicie el ordenador. Este tipo de ataques se basa en un juego de porcentajes, que asume que alguien acabará cayendo en todo el proceso, lo suficiente para un ataque dirigido.

Como señala Microsoft:

El ataque que inmediatamente explota la vulnerabilidad WinRAR demuestra la importancia de la gestión de amenazas y vulnerabilidades en reducir el riesgo operacional.

Lo que sorprende es lo similar que es el ataque que describe Microsoft a otros que explotan la misma vulnerabilidad.

¿Cómo pudo una vulnerabilidad estar oculta durante tanto tiempo?

Porque el desarrollo de software puede ser complicado, como WinRAR incide en sus notas de la nueva versión:

WinRAR utilizaba una librería de terceros para descomprimir archivos ACE. UNACEV2.DLL no había sido actualizada desde 2005 y no tenemos acceso a su código fuente. Por lo que hemos decidido eliminar ese archivo para proteger a los usuarios de WinRAR.

Actualiza o elimina

Además de eliminar o actualizar WinRAR, los administradores pueden enviar una advertencia sobre este tipo de ataques, especificando el no abrir ningún fichero ACE bajo ninguna circunstancia (recordando que los archivos pueden ser renombrados para evitar sospechas).

El otro aporte es no asumir que, como hasta ahora los ataques han estado relacionados con naciones, este será siempre el caso. Los exploits comerciales estarán al caer, los 500 millones de usuarios de WinRAR suponen un montón de víctimas para atacar.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.