AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Vulnerabilidad Zero-Day en WinRAR: Ataques Dirigidos Mediante Documentos de Solicitud de Empleo**

admin

### Introducción

Durante las últimas semanas, ESET Research ha identificado la explotación activa de una vulnerabilidad zero-day en WinRAR, uno de los gestores de archivos comprimidos más utilizados a nivel global. El ataque, detectado en campañas dirigidas, utiliza archivos maliciosos enmascarados como documentos relacionados con solicitudes de empleo, explotando una debilidad de path traversal. Este incidente pone de manifiesto la creciente sofisticación de las amenazas orientadas a la cadena de suministro y la necesidad de revisar los procedimientos de manejo de archivos adjuntos, incluso en entornos aparentemente seguros.

### Contexto del Incidente

La vulnerabilidad fue detectada tras la recepción de múltiples reportes sobre la ejecución de código no autorizado al extraer ciertos ficheros comprimidos con WinRAR. Los atacantes, haciéndose pasar por candidatos a ofertas laborales, enviaban archivos RAR manipulados a departamentos de recursos humanos y responsables técnicos. La explotación no requería la interacción del usuario más allá de la acción de extraer el archivo, lo que incrementa el riesgo y la eficacia de la campaña.

WinRAR, con una base instalada que supera los 500 millones de usuarios según estadísticas de RARLAB, constituye un objetivo atractivo para actores de amenazas que buscan una amplia superficie de ataque. La facilidad con la que los archivos comprimidos viajan por correo electrónico y plataformas colaborativas aumenta la exposición a este tipo de amenazas.

### Detalles Técnicos

La vulnerabilidad, catalogada como CVE-2023-38831, reside en la incorrecta validación de rutas relativas durante el proceso de extracción de archivos comprimidos. Específicamente, WinRAR no sanitiza adecuadamente las rutas incluidas en el contenido del archivo, permitiendo la escritura arbitraria de ficheros fuera del directorio de destino seleccionado por el usuario.

#### Vectores de Ataque

El vector de ataque principal implica el envío de un archivo RAR que, al extraerse, sobrescribe o crea archivos ejecutables en ubicaciones críticas del sistema, como la carpeta de inicio de Windows o directorios temporales con permisos de ejecución. El atacante inserta rutas maliciosas como `….AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupmalware.exe`, logrando la persistencia del malware tras el reinicio.

#### TTP MITRE ATT&CK

– **Initial Access:** Spearphishing Attachment (T1566.001)
– **Execution:** User Execution (T1204.002)
– **Persistence:** Boot or Logon Autostart Execution (T1547)
– **Defense Evasion:** Masquerading (T1036)

#### IoC (Indicadores de Compromiso)

– Hashes de archivos comprimidos maliciosos.
– Presencia de ejecutables no autorizados en rutas de autoarranque.
– Actividad anómala en procesos hijos de WinRAR.exe.

Actualmente, se han detectado exploits funcionales en frameworks como Metasploit, lo que facilita la explotación automatizada y el aumento del alcance del ataque.

### Impacto y Riesgos

La explotación de CVE-2023-38831 permite el compromiso total del sistema afectado, facilitando la instalación de backdoors, robo de credenciales o despliegue de ransomware. Se estima que, en las primeras fases de la campaña, al menos 130 organizaciones han sido objetivo en Europa y Asia Central, con un índice de éxito reportado superior al 40%.

El riesgo se multiplica en entornos corporativos donde las políticas de privilegios no están adecuadamente segmentadas, permitiendo la escalada de privilegios y el movimiento lateral. Adicionalmente, la explotación de esta vulnerabilidad puede derivar en incidentes de fuga de datos y violaciones de la legislación GDPR, con potenciales sanciones económicas elevadas.

### Medidas de Mitigación y Recomendaciones

– **Actualización inmediata:** Instalar la versión más reciente de WinRAR (a partir de la 6.23), donde el fallo ha sido corregido.
– **Deshabilitar la extracción automática**: Configurar WinRAR para requerir confirmación antes de extraer archivos en rutas críticas.
– **Segmentación de privilegios**: Limitar el uso de cuentas administrativas en estaciones donde se manipulen archivos adjuntos.
– **Monitorización proactiva**: Implementar reglas específicas en EDR/SIEM para detectar creación y ejecución de archivos en directorios de autostart.
– **Formación y concienciación**: Alertar a los empleados sobre la recepción de archivos comprimidos, especialmente en procesos de selección de personal.
– **Revisión de políticas de correo**: Bloquear o poner en cuarentena archivos comprimidos con rutas sospechosas.

### Opinión de Expertos

Según Anton Cherepanov, investigador principal de ESET, “este tipo de vulnerabilidades de path traversal han sido históricamente subestimadas, pero su impacto puede ser devastador en entornos corporativos. La cadena de infección es difícil de rastrear y la ingeniería social utilizada incrementa la dificultad de detección para soluciones automatizadas”.

Expertos en respuesta a incidentes, como los equipos de CERT-EU, recomiendan intensificar la monitorización de endpoints y reforzar los controles de seguridad en los procesos de onboarding digital.

### Implicaciones para Empresas y Usuarios

Este incidente subraya la importancia de mantener actualizados todos los componentes del software, incluidos aquellos considerados “utilidades” y menos expuestos en la superficie de ataque tradicional. La explotación de herramientas ampliamente usadas como WinRAR demuestra que los atacantes buscan eslabones débiles más allá de las aplicaciones críticas.

En el contexto regulatorio, una explotación exitosa que derive en fuga de información personal puede suponer sanciones bajo GDPR o incidentes de notificación obligatoria conforme a la directiva NIS2, en vigor desde 2023 para sectores críticos.

### Conclusiones

La vulnerabilidad zero-day en WinRAR ha puesto de manifiesto la peligrosidad de los ataques dirigidos mediante archivos adjuntos y la necesidad de adoptar una postura de defensa en profundidad, incluso ante herramientas consideradas de bajo riesgo. Las organizaciones deben priorizar la actualización de software, la segmentación de privilegios y la concienciación del personal para minimizar la superficie de ataque. La rápida respuesta frente a CVE-2023-38831 será clave para evitar incidentes de mayor envergadura y cumplir con las obligaciones regulatorias vigentes.

(Fuente: www.welivesecurity.com)