Error en parche de WinRAR sigue permitiendo ataques de RCE

15 Marzo 2019
Medio

Varios cibercriminales siguen explotando una vulnerabilidad de ejecución de código remoto (RCE) en el software de compresión de archivos WinRAR, usado por 500 millones de usuarios en el mundo.

La vulnerabilidad crítica se encuentra solucionada con la última versión de WinRAR lanzada a fines de febrero, sin embargo ésta puede seguir siendo explotada debido a la falta de la función de actualización automática de la aplicación.

Los atacantes logran tomar el control total de los equipos de sus víctimas, luego de incitarlos a abrir un archivo comprimido WinRAR malicioso, que llega adjunto en un malspam, que al ejecutarse instala el malware.
Investigadores de McAfee identificaron más de 100 explotaciones, la mayoría, en Estados Unidos. Una de las campañas llega con una copia de un álbum de la artista Ariana Grande (archivo WinRAR Ariana_Grande-thank_u, _next (2019) _ [320] .rar). Hasta ahora sólo 11 software de seguridad son capaces de alertar al usuario sobre el malware, mientras 53 aún no lo logran. Si bien el WinRAR contiene una carpeta con archivos MP3 inofensivos, también descarga un archivo EXE malicioso en la carpeta de inicio, que infecta al equipo luego de reiniciarse.

Se recomienda lo siguiente:

- Actualizar cuanto antes a la última versión 5.70 beta 1 de WinRAR.

- Evitar abrir archivos recibidos de fuentes desconocidas.

- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores, que expliquen el funcionamiento del malspam: sus peligros y cómo actúa para engañar a sus víctimas e infectar sus equipos.

- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Configurar de manera más estricta el anti spam.

- Escanear los archivos adjuntos de un correo electrónico, utilizando el antivirus.

- Tener activado el UAC (control de cuentas de usuario) de Windows.

El listado de las CVE se adjunta a continuación:

  • Productos Afectados
  • Producto Versión
    WinRAR 5.61 y anteriores.


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.