Un fallo en WinRAR deja al descubierto a las amenazas rusas y chinas
En los últimos tiempos, los expertos en seguridad han detectado un aumento de las ciberamenazas relacionadas con la explotación de una vulnerabilidad conocida, CVE-2023-38831en WinRAR, un archivador de archivos muy utilizado en Windows. Estas ciberamenazas proceden de grupos de piratas informáticos rusos y chinos respaldados por el Gobierno, lo que subraya la urgencia de mantener prácticas de ciberseguridad vigilantes. En este blog, profundizaremos en los detalles de este fallo de WinRAR y discutiremos cómo puede proteger sus sistemas contra él.
Entender el fallo de WinRAR
CVE-2023-38831 es una vulnerabilidad lógica lógica en WinRAR que permite a los atacantes ejecutar código arbitrario cuando un usuario intenta abrir un archivo benigno dentro de un archivo ZIP. Esta vulnerabilidad saltó a la palestra a principios de 2023, explotada inicialmente por ciberdelincuentes que se aprovecharon de que los defensores la desconocían. RARLabs, la empresa responsable de WinRAR, publicó rápidamente una versión actualizada del software en agosto de 2023, que solucionaba este problema. Sin embargo, muchos usuarios siguen siendo vulnerables, ya que aún no han actualizado su software.
El fallo tiene su origen en la forma en que WinRAR gestiona la expansión de archivos temporales al procesar archivos especialmente diseñados. Cuando un usuario intenta ver un fichero dentro de un archivo, WinRAR busca el directorio correspondiente y extrae tanto el fichero seleccionado como los ficheros dentro de ese directorio a una ubicación temporal. Durante este proceso, WinRAR normaliza las rutas de los archivos, eliminando los espacios añadidos. Sin embargo, una peculiaridad de las funciones ShellExecute de Windows añade complejidad al problema.
Cuando WinRAR llama a ShellExecute, proporciona una ruta con un espacio al final para abrir el archivo seleccionado por el usuario. ShellExecute intenta identificar las extensiones de archivo y, cuando encuentra un espacio en la extensión, utiliza una lógica de búsqueda predeterminada para identificar el archivo ejecutable. Este es el quid de la cuestión. La presencia de un espacio en cualquier parte de la extensión del archivo puede desencadenar la vulnerabilidad, provocando la ejecución involuntaria de código.
Implicaciones y explotaciones
La explotación de CVE-2023-38831 tiene graves implicaciones. Como se indica en una entrada de blog de Group-IB, los ciberdelincuentes estaban explotaban los fallos de WinRAR como día ceromucho antes de que el público lo conociera. Lo utilizaron para lanzar campañas dirigidas a operadores financieros, distribuyendo varias familias de malware de productos básicos. Para empeorar las cosas, poco después de que se revelara la vulnerabilidad, se pusieron a disposición del público pruebas de concepto y generadores de exploits en repositorios públicos, lo que facilitó a los actores maliciosos experimentar con la vulnerabilidad.
Campañas de los actores de la amenaza
Han surgido numerosas campañas que ponen de relieve la gravedad de la situación:
- FROZENBARENTS contra el sector energético: Este grupo, supuestamente vinculado a la Dirección Principal del Estado Mayor de las Fuerzas Armadas rusas, tenía como objetivo el sector de la energía. Utilizaron una campaña de correo electrónico en la que se hacían pasar por una escuela ucraniana de formación en guerra de drones. El mensaje contenía un enlace a un archivo ZIP malicioso que explotaba la vulnerabilidad CVE-2023-38831. La carga útil incluía un infostealer Rhadamanthys, que puede recopilar información sensible y, sorprendentemente, los ciberdelincuentes suelen emplear este infostealer.
- FROZENLAKE y las organizaciones gubernamentales ucranianas: FROZENLAKE, atribuido a la GRU rusa, tenía como objetivo organizaciones gubernamentales ucranianas. Utilizaron un proveedor de alojamiento gratuito para distribuir CVE-2023-38831 a sus víctimas. Esta campaña utilizó una falsa invitación a un evento como señuelo para distribuir malware dirigido a infraestructuras energéticas.
- ISLANDDREAMS contra Papúa Nueva Guinea: Esta campaña, al parecer orquestada por grupos respaldados por el gobierno chino, tenía como objetivo Papúa Nueva Guinea. Utilizaron un correo electrónico de phishing con un enlace a Dropbox que contenía el exploit CVE-2023-38831. La carga útil, ISLANDSTAGERes una puerta trasera .NET que utiliza la API de Dropbox como mecanismo de comunicación.
Lecciones aprendidas
La explotación generalizada del problema de seguridad de WinRAR subraya la importancia crítica de mantenerse al día con los parches de software. Incluso los atacantes más sofisticados se aprovechan de las vulnerabilidades conocidas, y corresponde a los usuarios y a las organizaciones mantener sus sistemas seguros. No basta con ser consciente de una vulnerabilidad; es esencial actuar con rapidez para aplicar los parches.
Proteger sus sistemas
Proteger sus sistemas contra estas amenazas requiere un enfoque proactivo:
- Actualizar WinRAR: El primer y más importante paso es asegurarse de que su instalación de WinRAR está actualizada a la última versión. RARLabs ha publicado parches de vulnerabilidad de WinRAR para hacer frente a esta vulnerabilidad, y la actualización de su software es la forma más eficaz de protegerse.
- Practique una ciberhigiene vigilante: Tenga cuidado al abrir archivos adjuntos o enlaces en correos electrónicos, especialmente si son inesperados o de fuentes desconocidas. Los ciberdelincuentes suelen utilizar la ingeniería social para engañar a los usuarios y hacer que ejecuten archivos maliciosos.
- Aprovecha las herramientas de seguridad: Considera el uso de herramientas de seguridad como Google's Safe Browsing y Gmail, que pueden ayudar a bloquear archivos que contengan exploits conocidos. Estas herramientas actúan como una capa adicional de defensa contra las amenazas.
- Implantar una sólida estrategia de gestión de parches: Las organizaciones deben contar con una estrategia de gestión de parches bien definida. Compruebe periódicamente si hay actualizaciones y parches de software y aplíquelos rápidamente a todos los sistemas pertinentes.
- Formación de usuarios: Eduque a su equipo sobre la importancia de las actualizaciones oportunas de software y las mejores prácticas de ciberseguridad. Los usuarios suelen ser la primera línea de defensa frente a las ciberamenazas.
- Supervisión y respuesta a incidentes: Implemente sistemas de supervisión sólidos y disponga de un plan de respuesta a incidentes. Ser capaz de detectar y responder a una brecha es crucial para mitigar los daños potenciales.
Conclusión
Los recientes exploits relacionados con WinRAR nos recuerdan que incluso las vulnerabilidades más conocidas pueden suponer una amenaza importante. Los ciberdelincuentes y los actores patrocinados por el Estado no tardan en sacar partido de estas debilidades, por lo que es esencial actuar con rapidez. Manténgase al día, proteger el software WinRAR con actualizaciones y adoptar prácticas de ciberseguridad vigilantes son la clave para proteger sus sistemas.
A medida que evolucionan estas amenazas, también deben hacerlo nuestras defensas, y es primordial mantener un enfoque proactivo e informado de la ciberseguridad. Ante estos retos, la comunidad de seguridad sigue dedicada a compartir información sobre amenazas, pero la responsabilidad de proteger nuestros sistemas recae en última instancia en los usuarios y las organizaciones. Mantente a salvo, mantente seguro.
Las fuentes de este artículo incluyen artículos en The Hacker News y Google.