Recente falha encontrada no WinRAR está sendo explorada para invadir computadores com Windows

Recentemente uma falha que permaneceu adormecida por 19 anos foi descoberta por pesquisadores da Check Point, mesmo a falha sendo corrigida, hackers agora exploram uma vulnerabilidade crítica do aplicativo para conseguir acesso a computadores com sistema Windows.

O WinRAR é um popular aplicativo de compactação de arquivos do Windows com 500 milhões de usuários em todo o mundo, mas um bug “Absolute Path Traversal” (CVE-2018-20250) em sua antiga biblioteca de terceiros, chamada UNACEV2.DLL, pode permitir que invasores extraiam um arquivo compactado ACE para uma das pastas de inicialização do Windows, onde o arquivo seria executado automaticamente na próxima reinicialização.

Para explorar com êxito a vulnerabilidade e assumir o controle total sobre os computadores de destino, tudo o que um invasor precisa fazer é convencer os usuários a abrir um arquivo compactado com códigos maliciosos usando o WinRAR.

Apenas um dia após o post no blog da Check Point e um vídeo de prova de conceito (que mostrou como um arquivo ACE pode extrair um arquivo malicioso para a pasta Startup do Windows), um código de exploração de prova de conceito para o recém vulnerabilidade descoberta do WinRAR foi publicada no Github.

Os pesquisadores de segurança do 360 Threat Intelligence Center (360TIC) detectaram ontem uma campanha de e-mail malspam que distribui um arquivo RAR malicioso que explora a vulnerabilidade mais recente do WinRAR para instalar malware em computadores que executam a versão vulnerável do software.

“Possivelmente, é o primeiro malware entregue por e-mail para explorar a vulnerabilidade do WinRAR. O backdoor é gerado pelo MSF [Microsoft Solutions Framework] e gravado na pasta de inicialização global pelo WinRAR se o UAC estiver desativado”, disseram os pesquisadores via Twitter.

Conforme mostrado na captura de tela compartilhada pelos pesquisadores, quando aberto usando o WinRAR – executado com privilégios de administrador ou em um sistema direcionado com o UAC (Controle de Conta de Usuário) desabilitado – o malware descarta um arquivo exe malicioso (CMSTray.exe) para o Windows Startup folder , projetada para infectar o computador de destino com um backdoor.

Como o UAC coloca algumas limitações nas permissões, a tentativa de extrair o arquivo com o UAC habilitado não coloca o arquivo exe malicioso na pasta C: \ ProgramData, portanto, não infecta o computador.

A melhor maneira de se proteger desses ataques é atualizar seu software instalando a versão mais recente do WinRAR o mais rápido possível e evitar a abertura de arquivos recebidos de fontes desconhecidas.

Como a equipe do WinRAR perdeu o acesso ao código-fonte da biblioteca vulnerável UNACEV2.DLL em 2005, em vez de corrigir o problema, lançou o WINRar versão 5.70 beta 1 que não suporta o formato DLL e ACE. Essa correção corrigiu o bug, mas ao mesmo tempo também remove todo o suporte ao ACE do WinRAR.


Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.