Detectan exploit que aprovecha vulnerabilidad en WinRAR para instalar un backdoor

A los pocos días de haber revelado una vulnerabilidad que afecta a WinRAR, detectaron una campaña que se distribuye vía mail y que intenta aprovechar la falla para instalar un backdoor

La semana pasada compartimos las noticias sobre él. encontrar una vulnerabilidad crítica en WinRAR que afecta a todas las versiones y que permite a un atacante obtener el control total de la máquina de la víctima al aprovecharse de archivos en formato ACE. Esta semana, la noticia es que inquisidores detecteron lo que podría ser el primer exploit que busca aprovecharse de este fallo critico, el cual era distribuido a través de un correo que incluye un archivo RAR como adjunto.

El problema identificado en WinRAR está en una biblioteca de terceros llamada UNACEV2.DLL, que se utiliza en todas las versiones del programa y que sirve para descomprimir archivos en formato ACE. Como la empresa responsable de este conocido programa para comprimir archivos no tenía acceso al código fuente, la biblioteca no se actualizaba desde 2005.

Tras encontrar esta falla en la biblioteca y como no era posible repararla, WinRAR la lanzó versión beta 5.70 de WinRAR en la que quitó la librería y por lo tanto dejó de dar soporte a los archivos ACE. Pero los aproximadamente 500 millones de usuarios que tienen WinRAR y que usan versiones anteriores a la 5.70 siguen expuestos.

Ayer, investigadores del 360 Threat Intelligence Center publicaron en su cuenta de Twitter el hallazgo de un exploit que intenta implantar un backdoor en el equipo infectado indicando que podría ser tratado como el primer exploit que busca aprovechar esta caída.

Luego de examinar el archivo RAR adjunto, corroboraron que el exploit intentó extraer un archivo en la carpeta de inicio C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup. Una vez que se extrae el archivo, cuyo nombre es CMSTray.exe, la próxima vez que se inicie la computadora, se ejecutará y copiará el archivo a %Temp% para luego ejecutar el archivo wbssrv.exe, explicó. BleepingEquipo.

Una vez ejecutado, el código malicioso se conectará a una dirección desde la que descargará varios archivos, incluida la herramienta de pentesting Cobalt Strike Beacon DLL, que también utilizan los ciberdelincuentes para acceder de forma remota a una computadora infectada. De esta forma, los ciberdelincuentes podrán acceder de forma remota a los equipos infectados para ejecutar comandos y propagarse dentro de la red.

Habiendo visto esto, es importante que los usuarios actualizar lo antes posible a la versión 5.70 de WinRAR para estar protegido de esta campaña, así como también de otras campañas que intenten aprobar este otoño en el futuro.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!