Un fallo en todas las versiones de WinRAR lanzadas en los últimos 19 años expone a millones de usuarios

imagen820×230 32 KB

Atención, usuarios de Windows, porque WinRAR tiene un bug que afectaría a todas las versiones del software lanzadas en los últimos 19 años. En cifras, la noticia podría suponer que existen varios cientos de millones de usuarios de Windows potencialmente afectados.

Al parecer, los investigadores de seguridad en Check Pointhan descubrieron una nueva vulnerabilidad crítica de ejecución remota de código. Para los no iniciados, WinRAR es posiblemente la aplicación más popular por veteranía para la compresión de archivos de Windows. De hecho, cuenta con una base de 500 millones de usuarios en todo el mundo.

El fallo en cuestión reside en la forma en que una antigua biblioteca de terceros (llamada UNACEV2.DLL) utilizada por el software manejó la extracción de archivos comprimidos en formato de archivo de compresión de datos ACE(*)

Sin embargo, dado que WinRAR detecta el formato por el contenido del archivo y no por la extensión, los atacantes podrían simplemente cambiar la extensión .ace a la extensión .rar para que se vea normal. Tan sencillo como eso. Según explican los investigadores:

Encontramos un error “Absolute Path Traversal” en la biblioteca que podría aprovecharse para ejecutar código arbitrario en un sistema específico que intenta descomprimir un archivo malintencionado usando las versiones vulnerables del software.

El fallo de la ruta de acceso permite a los atacantes extraer archivos comprimidos en una carpeta de su elección en lugar de la carpeta elegida por el usuario, lo que brinda la oportunidad de colocar código malicioso en la carpeta de inicio de Windows, donde se ejecutará automáticamente en el siguiente reinicio.

Como se puede apreciar en la demostración en video compartida por los investigadores, para tomar el control total de los equipos, todo lo que un atacante debe hacer es convencer a los usuarios de que tan solo abran archivos comprimidos malintencionados con WinRAR.

Por todo ello, se recomienda a los usuarios de Windows que instalen la última versión de WinRAR tan pronto como sea posible y eviten abrir archivos recibidos de fuentes desconocidas. Actualmente, sólo la versión 5.70 Beta 1 no está afectada por ésta vulnerabilidad al retirarse el soporte para archivos comprimidos en formato ACE (actualmente, casi en desuso)

(*)ACE: Formato de compresión utilizado por el programa de compresión de archivos WinAce, el cual tuvo su peak de popularidad en los últimos años de los noventa y principios de los años 2000 debido a que alcanzaba tasas de compresión superiores al ZIP y al RAR (en esos años). Actualmente, WinAce está descontinuado (la última versión del programa data del 2009) y su formato está casi extinto

Pues habrá que actualizar.

De todas maneras, ¿cómo no se ha dado cuenta nadie en 19 años, sobre todo los antivirus, antimalware, etc.?

Saludos.

Es posible que no interesase hasta este momento que este “problema” se conociese de forma pública. Como el hecho de que el cifrado WPA estaba roto mucho antes de que se comunicase públicamente o los fallos de seguridad a nivel de arquitectura de los procesadores INTEL y AMD.

Yo diría, que es SEGURO.

La última versión de Winrar es Version 5.70 beta 2 de la 5.70 beta 1 quedan hasta hoy: Arabic, Armenian, Bulgarian, Dutch, French, Indonesian, Romanian y Serbian Cyrillic. Y yo apenas logro entender lo básico del frances

Winrar es el programa de compresión más usado por los uploaders que comprimen con el nuevo fomato de compresión RAR5 todo lo que “comparten” en la red

Puro humo. Si en 20 años no ha pasado nada, lo mismo ocurrirá más adelante.

Ya salió la versión estable de Winrar que soluciona muchos problemas: Nota de los cambios:

• https://www.rarlab.com/rarnew.htm

Saludos.

Se me ha adelantado.

La referida versión aún no está disponible en todos lo idiomas.

Hola @K9999

Mientras esté el programa en inglés, está bien para muchos. Éste idioma es algo más fácil de comprender que otros, aunque ojalá que se lance luego en español (puede que la lancen en poco tiempo más)

Como advertencia, al actualizar el programa, se perderá la compatibilidad con archivos comprimidos *.ace, los cuales están en desuso y poco difundidos, así que actualicen mientras se pueda.

En éstos años usando PC (casi 20 años), nunca tuve la oportunidad de encontrar un archivo *.ace (siempre he visto comprimidos *.cab, *.rar, *.zip y alguno que otro *.7z).

Un dato curioso, Igor Pavlov (el creador de 7-Zip File Manager, un programa compresor), siempre se negó a incorporar el soporte de archivos *.ace debido a la librería que descomprime esos archivos era incompatible con 7-Zip (acá está la FAQ sobre 7-Zip y el no soporte a archivos *.ace ->https://web.archive.org/web/20060214090333/http://www.7-zip.org/faq.html). Menos mal que nunca lo hizo.

Saludos

@ArnaldoMuf me adhiero a casi todo, salvo lo de:

(Por qué no lo sabía). Gracias por el dato.

Sobre lo del idioma era solo para hacerlo saber por si alguien preguntaba. Ya está disponible en otros idiomas, por lo general se tardan 20 días (aprox) en actualizar al español.

Saludos.

Gracias por el dato sobre Winrar, voy a actualizarlo aunque en realidad lo tengo para descomprimir lo que llego a descargar. Como lo mencione antes, el formato RAR5 que se viene utilizando solo puede descomprimirse con la última versión de Winrar y por eso es que la gente se ha visto obligada a instalar las versiones más recientes de dicho programa. De ahí viene la enorme cantidad de usuarios que tiene cada año

Ignoro si 7-Zip puede descomprimir el RAR5, Bandizip (que además es gratuito) si lo hace

Saludos

Según las FAQ de 7zip: (literal)

7-Zip 9.20 supports RAR 2/3/4 formats only and doesn’t support RAR5 archives. But latest versions of 7-Zip supports RAR5 archives

https://www.7-zip.org/faq.html

Sería que sí pero en las versiones posteriores a la 9.20. Saludos.

Hola @JCTecn1cal y @K9999

Desde la versión 15.06, 7-Zip File Manager soporta RAR5 y, desde la versión 16.02, se incluye soporte para archivos comprimidos *.zip multivolumen creados con WinRAR (esos cuya extensión es *.z01, *.z02 …) lo cual coincidió con la incorporación del soporte de archivos zip multivolumen creados con 7-Zip File Manager de parte de WinRAR (esos, cuya extensión es *.zip.001, *.zip.002…)

Sobre el algoritmo RAR5, casi la mayoría de los programas de compresión ya incluyen el soporte del antes mencionado sistema de compresión, por lo que no creo que haya ya problemas de compatibilidad con RAR5 (que de hecho, me parece que se convirtió en el algoritmo que se ocupa por defecto en las últimas versiones de WinRAR a la hora de crear archivos *.rar)

Y de Bandizip, yo pensaba que era el único que lo conocía. Es algo desconocido, pero, es un muy buen programa compresor. La primera vez que leí algo sobre el mismo fué en un artículo sobre archivos comprimidos. De hecho, es el único programa que abre los desconocidos *.zipx sin problemas.

Saludos

Veamos… primeramente ya a estas alturas debemos de saber que todo software es propenso a vulnerabilidades… cuya gravedad dependerá de la extension del software en si y de si ya esta siendo explotada o no.

En este caso especifico de WinRAR, la vulnerabilidad esta en un componente de terceros (la .DLL propietaria de .ace) que incluye WinRAR como muchos otros compresores de archivo que den soporte a los archivos con extension ".ACE"

Como el .ace es un formato muy pero muy poco utilizado y abandonado desde hace muchos años, esta vulnerabilidad nunca fue descubierta antes y si así lo hicieron, nunca fue parchada ni encontrada previamente debido justamente a su poco uso.

Ahora bien, el mayor problema en las vulnerabilidades de programas populares como en este caso WinRAR, es justamente cuando se hace publica ya que es ahi en donde empiezan a ser explotadas por parte de los chicos malos… y este caso no es la excepción y ya esta circulando una campaña de emails spam con malware que se aprovecha de esta vulnerabilidad.

Obviamente que si utilizan WinRAR se recomienda actualizar (a WinRAR 5.70 beta 1)., o si no quieren o pueden, también pueden eliminar directamente la DLL vulnerable (UNACEV2.DLL).

Salu2

Hoy me llego este correo (como tengo licencia original de winrar e imagino que más de alguno también la tendrá o usará otro compresor) los fallos llevan a su enlace respectivo.

Hola !

Nadav Grossman de Check Point Software Technologies ha descubierto fallos de seguridad de la libreria UNACEV2.DLL (CVE-2018-20250, CVE-2018-20251 y CVE-2018-20252) que hace posible crear ficheros en qualquier carpeta dentro y fuera de la carpeta de destino al descomprimir archivos ACE. Algunos de estos fallos ya están arreglados desde la versión 5.61 de WinRAR.

WinRAR usa esta libreria externa para descomprimir archivos ACE, la cual no se ha actualziado desde 2005 y no tenemos acceso a su código fuente, de forma que hemos decidido dejar de soportar el formato de compresión ACE para proteger la seguridad de los usuarios de WinRAR.

La nueva versión 5.70 ya no incluye esta libreria y por tanto no tiene este problema de seguridad. Se recomienda actualizarse a la última versión lo antes posible.

Esta actualización es gratuita para todos los usuarios registrados que han comprado su licencia en winrar.es . Los usuarios que hayan comprado una licencia en otro sitio web para una versión anterior de WinRAR necesitan tener contratado el plan de mantenimiento anual para poderse actualizar.

Para actualizar WinRAR solo tiene que instalar esta versión de prueba sin desinstalar la versión anterior y WinRAR reconocerá automaticamente su licencia y eliminará las librerias ACE de su equipo.

Descargar RAR o WinRAR

Se recomienda a los usuarios de versiones anteriores que no puedan actualizarse que desactiven el soporte para archivos ACE y que eliminen el fichero UNACEV2.DLL de su equipo.

Dicho fichero se puede encontrar el la siguiente carpeta: %PROGRAMFILES%/WinRAR o %PROGRAMFILES%/WinRAR/Formats

Artículo principal -> JNEC.a: El nuevo ransomware que se aprovecha de la vulnerabilidad de la librería UNACEV2.DLL