Vulnerabilidad día cero en WinRAR expone millones de usuarios a hackers

El investigador de seguridad Mohammad Reza Espargham encontró una nueva falla de día cero que está amenazando millones de usuarios de la última versión de WinRAR.

WinRAR es un software ampliamente utilizado para comprimir/descomprimir archivos y carpetas, con una suma de más de 500 millones de instalaciones.

De acuerdo con el investigador de seguridad de Vulnerability-Lab Mohammad Reza Espargham, la última versión de WinRAR 5.21 para Windows OS es vulnerable a la ejecución remota de código (RCE).

 “Una vulnerabilidad de ejecución remota de código se ha descubierto en el software oficial v5.21 WinRAR SFX. La vulnerabilidad permite a los atacantes ejecutar código remoto específico no autorizado para comprometer un sistema de destino. El problema se encuentra en la función de ‘Text and Icon’ del modulo ‘Text to display in SFX window’. Un atacante remoto es capaz de generar archivos comprimidos propios con payloads maliciosos para ejecutar códigos específicos y comprometer el sistema. Los atacantes guardan en la entrada del archivo sfx el código html malicioso. Así se ejecuta el código específico cuando un usuario o sistema objetivo está procesando para abrir el archivo comprimido. “, Afirma la descripción técnica prestada para la falla.

WinRAR SFX es un tipo específico de archivo comprimido ejecutable con capacidades de auto-extraer, el atacante puede explotar la falla para ejecutar código arbitrario cuando las víctimas abren un archivo SFX.

A continuación una prueba de concepto entregada por Espargham:



Un atacante puede desencadenar con éxito la vulnerabilidad con baja interacción del usuario, y poner en peligro el sistema, la red del sistema o el dispositivo.

“La explotación de la vulnerabilidad de ejecución de código requiere una interacción baja de usuario (abrir el archivo) aunque no tenga privilegios de sistema o siendo un usuario restringido. La explotación exitosa de la vulnerabilidad de ejecución remota de código del software WinRAR SFX expone al sistema, la red o dispositivo.”, Continúa el reporte,

“La principal desventaja surge debido a que son archivos SFX, ya que empiezan a funcionar tan pronto como el usuario hace clic en ellos. Por lo tanto, los usuarios no pueden identificar y verificar si el archivo ejecutable comprimido es un módulo genuino o perjudicial de WinRAR SFX”.

El experto destacó la ausencia de un parche y proporciona la siguiente sugerencia a los usuarios WinRAR:

  • Utilice un software de compresión alternativo
  • No haga clic en los archivos recibidos de fuentes desconocidas
  • Utilice métodos de autenticación estrictas para proteger el sistema

Leave a Reply