Detectan campaña de MalSpam que busca explotar la vulnerabilidad de Winrar.-



Hace unos días, se informó sobre una vulnerabilidad de ejecución remota de código de 19 años revelada por Check Point en la biblioteca UNACEV2.dll de WinRAR que podría permitir que un archivo de formato ACE creado de manera malintencionada ejecute código arbitrario en un sistema específico .

WinRAR es una popular aplicación de compresión de archivos de Windows con 500 millones de usuarios en todo el mundo, pero un error crítico "Absolute Path Traversal" (CVE-2018-20250) en su antigua biblioteca de terceros, llamada UNACEV2.DLL, podría permitir a los atacantes extraer un archivo comprimido ejecutable a una de las carpetas de inicio de Windows, donde el archivo se ejecutará automáticamente en el siguiente reinicio.

Para explotar con éxito la vulnerabilidad y tomar el control total de las computadoras objetivo, todo lo que un atacante debe hacer es convencer a los usuarios de que abran un archivo comprimido creado con fines malintencionados con WinRAR.

Justo un día después de la publicación en el blog de Check Point y un video de prueba de concepto (que mostraba cómo un archivo ACE puede extraer un archivo malicioso en la carpeta de inicio de Windows) se hizo público el código de la prueba de concepto, la cual fue publicada en Github

Los investigadores de seguridad del 360 Threat Intelligence Center (360TIC) detectaron ayer una campaña de correo electrónico de malspam que distribuye un archivo malicioso RAR que explota la última vulnerabilidad de WinRAR para instalar malware en las computadoras que ejecutan la versión vulnerable del software.

"Posiblemente el primer malware entregado por correo para explotar la vulnerabilidad de WinRAR. La puerta trasera es generada por MSF [Microsoft Solutions Framework] y escrita en la carpeta de inicio global por WinRAR si UAC está desactivado", escribieron los investigadores en Twitter.


Como se muestra en la captura de pantalla compartida por los investigadores, cuando se abre con WinRAR, y que ademas que se ejecute con privilegios de administrador o en un sistema específico con UAC (Control de cuentas de usuario) desactivado, el malware posiciona el archivo exe malicioso (CMSTray.exe) en la carpeta de inicio de Windows, diseñada para infectar la computadora seleccionada con un backdoor.

Como UAC pone algunas limitaciones en los permisos, al intentar extraer el archivo con UAC habilitado no se puede colocar el archivo exe malicioso en la carpeta C: \ ProgramData, por lo que no se puede infectar la computadora.

La mejor manera de protegerse de estos ataques es actualizar su software instalando la última versión de WinRAR tan pronto como sea posible y evitar abrir archivos recibidos de fuentes desconocidas.
Dado que el equipo de WinRAR había perdido el acceso al código fuente de la biblioteca vulnerable UNACEV2.DLL en 2005, en lugar de solucionar el problema, lanzó WINRar versión 5.70 beta 1 que no es compatible con los formatos DLL y ACE. Esto solucionó el error, pero al mismo tiempo también elimina todo el soporte de ACE de WinRAR.