El investigador Mohammad Reza Espargham reportó una vulnerabilidad RCE en WinRAR, la popular herramienta de compresión de archivos, que permite a un atacante la ejecución remota de código arbitrario (Remote Code Execution) cuando se abra un archivo auto extraíble (SFX, del inglés Self extracting).

Según el informe, se trata de una vulnerabilidad crítica con una calificación 9 en la escala CVSS, y esto tiene sentido si consideramos que WinRAR afirma ser utilizado por más de 500 millones de usuarios a nivel mundial para comprimir archivos, almacenarlos en forma organizada y transferirlos por correo electrónico rápidamente.

¿En qué consiste esta vulnerabilidad RCE en WinRAR?

Fue encontrada específicamente en el software SFX v5.21, y permite a atacantes ejecutar código en forma remota para comprometer un equipo. Como todavía no hay un parche que la corrija, se trata de un 0-day, por lo que será necesario actualizar el programa apenas se publique la solución.

El problema radica en la función "texto e ícono", dentro de la ventana que permite elegir el texto a mostrar en la ventana SFX. Allí, el atacante debería insertar código HTML malicioso. "Los atacantes remotos pueden generar sus propios archivos comprimidos con payloads maliciosos para que ejecuten códigos específicos en el sistema, para comprometerlo", explica el reporte.

Por lo tanto, cuando el sistema víctima esté procesando la apertura del archivo comprimido, el atacante puede ejecutar los comandos maliciosos específicos y compromter el equipo, el sistema, e incluso la red. Para hacerlo no requiere mucha interacción del usuario, excepto abrir el archivo, lo cual puede hacer sin privilegios de sistema o cuentas restringidas.

El siguiente video es una prueba de concepto realizada por Mohammad Reza:

Un archivo auto extraíble o SFX está fusionado con un módulo ejecutable, que se usa para extraer ficheros del archivo al ejecutarlo. De este modo, no se necesita un programa externo para extraer el contenido y basta con ejecutarlo, es decir que es capaz de extraer sus propios contenidos; normalmente, tienen extensión .EXE al igual que cualquier otro fichero ejecutable.

La preocupación por esta vulnerabilidad RCE en WinRAR surge debido a que los archivos SFX empiezan a funcionar tan pronto como el usuario hace clic en ellos. Por lo tanto, es difícil identificar si el ejecutable comprimido es un módulo WinRAR SFX genuino o uno perjudicial.

Hasta tanto se publique el parche, es mejor evitar el uso de este software y solo ejecutar archivos que provengan de remitentes confiables.