Se está explotando ampliamente una vulnerabilidad de WinRAR porque la utilidad de archivo no permite actualizar automáticamente a una versión parcheada.
Conclusiones clave
- La popularidad de WinRAR se ve amenazada por el soporte nativo de Windows 11 para formatos de compresión, pero Los usuarios deben actualizar el software debido a una vulnerabilidad de seguridad que está siendo explotada por patrocinadores estatales. actores.
- La vulnerabilidad permitía a los actores de amenazas ejecutar código malicioso cuando los usuarios abrían archivos aparentemente inofensivos dentro de archivos ZIP.
- La explotación de la vulnerabilidad resalta la importancia de mantener el software actualizado y la necesidad de que los proveedores ofrezcan formas más sencillas de actualizar el software.
winrar es una de las utilidades de compresión más utilizadas, aunque Windows 11 podría estar buscando hacer mella en su popularidad con soporte nativo para formatos 7Z, RAR y TAR.GZ. Sin embargo, aquellos que aprovechan WinRAR pueden querer actualizar el software lo antes posible, ya que, según se informa, ciertos actores patrocinados por el estado están explotando una vulnerabilidad de seguridad.
en un entrada en el blog Escrito por Google, la compañía dice que su Grupo de Análisis de Amenazas (TAG) ha identificado múltiples casos de grupos de piratería que utilizan una vulnerabilidad ahora parcheada en WinRAR. Aparentemente, el software de archivo albergaba un error de seguridad que provocaba una "expansión extraña de archivos temporales al procesar archivos manipulados, combinado con una peculiaridad en la implementación de Windows". ShellExecute al intentar abrir un archivo con una extensión que contenga espacios". Esto significaba que un actor de amenazas podría ejecutar código malicioso si un usuario abriera un archivo aparentemente seguro dentro de un ZIP. archivo.
Aunque el desarrollador de WinRAR, RARLabs, tapó el agujero de seguridad en agosto de 2023, varios grupos de hackers como FROZENBARENTS, FROZENLAKE y ISLANDDREAMS ha estado aprovechando el problema en software sin parches para ejecutar campañas maliciosas en varios países como Ucrania y Papúa Nueva. Guinea.
La razón clave detrás de la explotación generalizada es que WinRAR no se actualiza automáticamente, lo que significa que los clientes que ejecutan una versión anterior del software son vulnerables a explotación. A partir de ahora, las versiones 6.23 y 6.24 de WinRAR contienen la solución de seguridad en cuestión.
Google ha señalado que la difusión de este exploit no sólo enfatiza la importancia de los usuarios mantener su software actualizado, pero también la necesidad de que los proveedores ofrezcan formas más fáciles de actualizar software. Si tiene curiosidad acerca de cómo se explota la vulnerabilidad o desea conocer los indicadores de compromiso (IOC) asociados, asegúrese de consultar el sitio web de la empresa. publicación de blog detallada.