Vários agentes de ameça ainda estão a explorar uma vulnerabilidade de execução de código crítica (RCE) recentemente corrigida no WinRAR — uma app popular de compactação de ficheiros do Windows com 500 milhões de utilizadores em todo o mundo.
Os invadores têm conseguido explorar esta falha uma vez que o WinRar não possui um recurso de atualização automática, e o que infelizmente, deixa milhões de utilizadores vulneráveis a ataques informáticos.
A vulnerabilidade crítica (CVE-2018-20250) que foi corrigida no mês passado pela equipa do WinRAR com o lançamento do WinRAR versão 5.70 beta 1.
Esta falha afeta todas as versões anteriores do WinRAR lançadas nos últimos 19 anos.
Em detalhe, a vulnerabilidade é um bug no “Absolute Path Traversal” que reside na antiga biblioteca de terceiros UNACEV2.DLL do WinRAR e permite que os invasores extraiam um ficheiro executável compactado de um ficheiro ACE para uma das pastas de inicialização do Windows. Esse ficheiro malicioso seria executado automaticamente na próxima reinicialização.
Para que esta vulnerabilidade seja explorada com sucesso, o invasor apenas precisa que a vítima execute com sucesso a descompactação de um ficheiro usando o WinRar.
Imediatamente após os detalhes e o código de exploração da prova de conceito (PoC) serem divulgados publicamente, invasores mal-intencionados começaram a explorar a vulnerabilidade numa campanha de email malspam para instalar malware nos computadores dos utilizadores que executavam a versão vulnerável do software.
Neste momento, a McAfee relataram que identificaram mais de “100 explorações e contagens exclusivas” na primeira semana desde que a vulnerabilidade foi divulgada publicamente.
Infelizmente, essas campanhas ainda estão em andamento, e a melhor maneira de se proteger de tais ataques é atualizar seu sistema instalando a versão mais recente do software WinRAR o mais rápido possível e evitar a abertura de ficheiro recebidos de fontes desconhecidas.
A atualização não é automática, tem de ser você a descarregar a a instalar a nova versão manualmente.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.