La última versión del popular software de compresión WinRAR (WinRAR 5.21) ha sido objeto de una nueva vulnerabilidad Zero Day a prueba de parches y se prevé que afecte a millones de usuarios en todo el mundo. Según un investigador de segurdiad de Vulnerability Lab, Mohammad Reza Espargha, este fallo de seguridad permite ejecutar código a distancia.
Mohammad Reza Espargha, investigador de seguridad de Vulnerability Lab, ha asegurado que la versión 5.21 – para ordenadores con sistema operativo Windows – ha sufrido un fallo de seguridad que permite la ejecución remota de código. Esta nueva vulnerabilidad (WinRAR RCE) se presenta como una de las más peligrosas que ha sufrido WinRAR hasta el momento, lo que pone en peligro a millones de personas, puesto que el programa cuenta con más de 500 millones de descargas en todo el mundo. Además, WinRAR RCE se ha calificado con un 9 en el sistema de evalucación de vulnerabilidades conocido como CVSS (Common Vulnerability Scoring System).
¿Cómo funciona WinRAR RCE?
Para comenzar, lo que más preocupa de esta vulnerabilidad es que puede ser utilizada por cualquier atacante con cocnocimiento para insertar un código HTML malicioso en el texto de los archivos SFX cuando el usuario está creando el archivo. Este tipo de archivos, conocidos como WinRAR SFX, son un tipo de archivos comprimidos que, a su vez, contienen diversos archivos que pueden autoextraerse. De acuerdo con el vídeo que ha publicado Espargham y que podemos ver un poco más abajo, esta última vulnerabilidad WinRAR permite a los hackers ejecutar un código arbitrario en remoto que afecte al ordenador de la víctima cuando se abre uno de estos archivos SFX. Mediante la inclusión de archivos HTML en los SFXs, el programa – con un solo clic por parte del usuario – descarga el código en un servidor externo y lo ejecuta sin que el usuario tenga conocimiento de ello. Una vez existe la capacidad de ejecutar un código en un terminal ajeno, las posibilidades para los atacantes son infinitas.
El “éxito” de esta vulnerabilidad radica en que comprometer el sistema y la red, sin necesidad de una alta interacción por parte de los usuarios. Esta facilidad para infectar un terminal se debe a que el código malicioso comienza a ejecutarse en cuanto un usuario hace clic sobre el archivo SFX y no hay ninguna manera de averiguar si ese archivo en cuenstión es un SFX real o contiene un código malicioso camuflado.
No hay parche disponible todavía
Desafortunadamente, no hay parche disponible todavía para solucionar esta vulnerabilidad. Sin embargo, se recomienda a los usuarios de Windows que utilicen un software de compresión de archivos alternativo, que no haga clic en los archivos recibidos de fuentes desconocidas y que utilicen métodos de autenticación estrictos para proteger su sistema.
La respuesta por parte de WinRAR puede llegar a parecer desconcertante, puesto que aunque reconocen el informe de la vulnerabilidad, consideran que la reponsabilidad radica directamente en el usuario ya que es él quién decide si ejecuta o no el archivo SFX. Además, desde el equipo de desarrollo del programa, no contemplan la posibilidad de limitar la inclusión de archivos HTML ya que lo consideran una funcionalidad necesaria que puede suponer el descontento de muchos usuarios.
Aquí os dejamos el comunicado oficial:
[box type=»warning» align=»alignleft» class=»» width=»»]Sumario
Los archivos ejecutables son potencialmente peligrosos por su diseño y solo se deben ejecutar si se reciben de una fuente de confianza. Los archivos autoextraíbles (SFX) de WinRAR no son, ni más ni menos, peligrosos que otros archivos exe.
Descripción
Según ha informado http://seclists.org/fulldisclosure/2015/Sep/106, es posible crear archivos SFX con un texto HTML especialmente diseñado, el cual, si se inicia como ejecutable, descargará y ejecutará un archivo ejecutable arbitrario en la computadora de un usuario. La extracción de tales archivos SFX con WinRAR es todavía seguro. Vamos a ver si genera riesgos adicionales para los usuarios.
El archivo de extracción WinRAR es un archivo ejecutable.
El usuario no puede verificar fácilmente si el archivo WinRAR SFX es genuino o se trata de algún otro código, por lo que cualquier código malicioso puede incluirse inmediatamente al módulo ejecutable del archivo SFX. Cualquier hacker puede tomar cualquier ejecutable malicioso, archivarlo y distribuirlo a los usuarios. Esto, hace que discutir sobre las vulnerabilidades en la creación de archivos SFX sea inútil.
El módulo SFX proporciona una función documentada oficial que ejecuta cualquier archivo – ejecutable y que esté contenido en el SFX – en el equipo de usuario, por lo que no es necesario implementar formas hacker para conseguir lo mismo. Esto se puede hacer con el comando de script «Setup» o con su programa equivalente WinRAR GUI en «Setup program/Run after extraction». Tanto el comando «Silent», como en WinRAR GUI «Silent mode/Hide start dialog», permiten saltarse la pantalla de inicio por lo que un ejecutable archivado se iniciará de inmediato y sin intervención del usuario. El comando «Sobrescribir» evita la sobreescritura en caso de que ya exista un archivo extraído. El comando «Path», por su parte, especifica un nombre de carpeta en «Archivos de programa» para almacenar los archivos descomprimidos.
Es inútil buscar supuestas vulnerabilidades en el módulo SFX para arreglar esas vulnerabilidades, porque como cualquier archivo exe, el archivo SFX es potencialmente peligroso para el ordenador del usuario solo por su diseño. Como para cualquier archivo exe, los usuarios deben ejecutar los archivos SFX solo si están seguros de que tales archivos se reciben de una fuente de confianza. El archivo SFX puede ejecutar cualquier archivo exe que contenga y esta función oficial es necesaria para los instaladores de software.
En otras palabras, en lugar de la complicada prueba que se menciona en el informe vinculado anteriormente, sería más sencillo colocar putty.exe en el archivo RAR SFX y añadir los siguientes comandos:
Setup=putty.exe Silent Overwrite Path=puttyfolder
Si se prefiere realizar la descarga desde Internet, una herramienta para descargar y ejecutar un archivo ejecutable desde la red se puede specificaren en el comando «Configuración».
Teniendo todo esto en cuenta, podemos decir que la limitación de la funcionalidad del módulo HTML de SFX solo dañaría a los usuarios legítimos que necesitan todas las características de HTML, lo que no supone ningún problema para una persona con malas intenciones ya que puede usar módulos de versiones anteriores de SFX, módulos personalizados construídos a partir de un código UnRAR, su propio código o ejecutables archivados para este propósito. Solo podemos recordar a los usuarios, una vez más, que para ejecutar archivos exe, o bien crear archivos SFX, lo hagan solo si tienen la certeza de que vienen de una fuete de conmfianza. [/box]