Hackers estão explorando uma vulnerabilidade crítica do WinRAR que foi revelada na semana passada. Conhecido por muitos, o WinRAR é um aplicativo de compactação de arquivos do Windows com 500 milhões de usuários em todo o mundo, mas um bug chamado “Absolute Path Traversal” (CVE-2018-20250)” – cujo nome, em sua antiga biblioteca de terceiros, era UNACEV2.dll -, pode permitir que invasores extraiam um arquivo compactado para umas das pastas de inicialização do Windows, onde seria executado automaticamente na próxima reinicialização.
Para conseguir explorar essa vulnerabilidade e obter o controle total sobre os computadores, tudo que um invasor precisa fazer é convencer os usuários a abrir um arquivo compactado com códigos maliciosos usando o WinRAR.
O que é pior?
Os pesquisadores de segurança do 360 Threat Intelligence Center (360TIC) detectaram ontem uma campanha de e-mail malspam que distribui um arquivo RAR malicioso explorando justamente esta falha, visando que ele seja instalado em computadores que executam a versão vulnerável do software.
“Possivelmente, o primeiro malware entregue pelo correio para explorar a vulnerabilidade do WinRAR. O backdoor é gerado pelo MSF [Microsoft Solutions Framework] e gravado na pasta de inicialização global pelo WinRAR se o UAC estiver desativado”, os pesquisadores twittaram.
Conforme mostrado na captura de tela compartilhada pelos pesquisadores, quando aberto usando o WinRAR – software executado com privilégios de administrador ou em um sistema direcionado com o UAC (Controle de Conta de Usuário) desabilitado –, o malware descarta um arquivo exe malicioso (CMSTray.exe) para o Windows Startup pasta, projetado para infectar o computador de destino com um backdoor.
A melhor maneira de se proteger desses ataques é atualizar seu software instalando a versão mais recente do WinRAR o mais rápido possível e evitar a abertura de arquivos recebidos de fontes desconhecidas.
Em 2005, a equipe do WinRAR perdeu o acesso ao código-fonte da biblioteca vulnerável UNACEV2.dll. Em vez de corrigir o problema, lançou o WINRar versão 5.70 beta 1, que não suporta os formatos DLL e ACE. Essa alteração corrigiu o bug, mas ao mesmo tempo, também remove todo o suporte ao ACE do WinRAR.