Se ha identificado una nueva falla de seguridad uno de el compresor de archivos WinRAR para el sistema operativo Windows, esta falla podría ser aprovechado por un atacante para la ejecutar código arbitrario en los sistema de la víctima, lo que pone de manifiesto que las vulnerabilidades de este tipo de software podrían convertirse en una puerta de entrada para una serie de ataques de alto nivel.
La vulnerabilidad fue indentificada como CVE-2021-35052, el fallo afecta a la versión de prueba del software con la versión 5.70. «Esta vulnerabilidad permite a un atacante interceptar y modificar las peticiones enviadas al usuario de la aplicación«, dijo Igor Sak-Sakovskiy, de Positive Technologies, en un escrito técnico. «Esto puede utilizarse para lograr la ejecución remota de código (RCE) en el ordenador de la víctima«.
Sak-Sakovskiy señaló que la investigación sobre WinRAR comenzó después de observar un error de JavaScript renderizado por MSHTML (también conocido como Trident), un motor de navegación propietario para el ahora discontinuado Internet Explorer y que se utiliza en Office para renderizar el contenido web dentro de los documentos de Word, Excel y PowerPoint, lo que llevó a descubrir que la ventana de error se muestra una vez cada tres veces cuando se lanza la aplicación después de la expiración de la prueba.
Al interceptar el código de respuesta enviado cuando WinRAR avisa al usuario del fin del periodo de prueba gratuito a través de «notifier.rarlab.com» y modificarlo por un mensaje de redirección «301 Moved Permanently», Positive Technologies identifico que se podía abusar de la redirección a un dominio malicioso controlado por el atacante para todas las solicitudes posteriores.
Además, un atacante que ya tenga acceso al mismo dominio de red puede realizar ataques de suplantación de ARP para lanzar aplicaciones de forma remota, recuperar información del host local e incluso ejecutar código arbitrario.
Uno de los mayores retos a los que se enfrenta una organización es la gestión del software de terceros. Una vez instalado, el software de terceros tiene acceso a leer, escribir y modificar datos en los dispositivos que acceden a las redes corporativas. Es imposible auditar todas las aplicaciones que podría instalar un usuario, por lo que la política es fundamental para gestionar el riesgo asociado a las aplicaciones externas y equilibrar este riesgo con la necesidad de la empresa de contar con diversas aplicaciones. Una gestión inadecuada puede tener consecuencias de gran alcance.
¿Alguna recomendación? Sí, adquirir la licencia de WinRar o decantarse por otras opciones como lo es 7zip.
Más información
https://swarm.ptsecurity.com/winrars-vulnerable-trialware-when-free-software-isnt-free/
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
