Una semana más tarde del descubrimiento de una vulnerabilidad critica en WinRAR que permite a un atacante obtener el control total de la máquina de la víctima al beneficiarse de archivos en formato ACE, se detectó un exploit (aprovechándose de este fallo) el cual es distribuido a través de un correo que incluye un archivo .RAR como adjunto.

El inconveniente identificado en WinRAR consiste en una librería de terceras partes, llamada UNACEV2.DLL, que se utiliza en todas las versiones del programa y que sirve para desempaquetar archivos en formato ACE. Como la compañía no tenía acceso al código fuente, la librería no se actualizaba desde 2005.
A partir de este fallo y debido a que no es posible repararlo, WinRAR lanzó la versión beta 5.70 de WinRAR en la que quito la librería y por ello dejó de dar soporte a los archivos ACE. Pero los millones de usuarios que tiene WinRAR y aún utilizan versiones anteriores a la 5.70 están expuestos.

Los investigadores de 360 Threat Intelligence Center publicaron a través de su cuenta de Twitter el primer exploit que busca aprovecharse de este fallo intentando implantar un backdoor en la computadora infectada.

“Luego de examinar el archivo RAR adjunto, corroboraron que el exploit intenta extraer un archivo en la carpeta de inicio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\. Una vez extraído el archivo, cuyo nombre es CMSTray.exe, la próxima vez que se inicie el equipo se ejecutará y copiará el archivo a %Temp%\ para luego ejecutar el archivo wbssrv.ex” explicaron en la página BleepingComputer.

Una vez ejecutado, el código malicioso se unirá a una dirección en la cual se descargarán algunos archivos, entre ellos está la herramienta de pentesting Cobalt Strike Beacon DLL, la cual también se utiliza por cibercriminales para poder acceder de manera remota a un equipo infectado. Por ello, los cibercriminales serán capaces de ingresar al equipo infectado para ejecutar comandos y expandirse dentro de la red.

Es importante que los usuarios actualicen lo antes posible a la versión 5.70 de WinRAR para estar protegido de esta vulnerabilidad, así como también de otras que intenten aprovecharse de este fallo en el futuro.