Los investigadores de Check Point han descubierto una nueva vulnerabilidad en WinRAR, el software de compresión de datos utilizado comúnmente para el sistema operativo Windows que permite crear y visualizar documentos en formatos RAR o ZIP, con más de 2 décadas de historia cuyo origen está en una antigua dll de 2006 que no contaba con mecanismos de protección (como ASLR, DEP, etc.).

Más de 500 millones de usuarios y sus equipos podrían estar en peligro a causa de esta nueva vulnerabilidad descubierta por los investigadores de Check Point al utilizar un fuzzer de WinAFL en WinRAR. Según apuntan los expertos de la compañía, el análisis de esta dll se centraba en encontrar un bug de corrupción de memoria que pudiese utilizarse para ejecutar código de forma remota. Durante una de las pruebas el fuzzer descubrió un caso con un comportamiento extraño y, tras investigarlo, los investigadores de Check Point encontraron un error lógico de tipo: “Absolute Path Traversal” que permite extraer registros de los usuarios de esta aplicación y generar una ejecución remota de código.

¿Cuáles han sido los procesos para detectar esta vulnerabilidad?

  1. Creación de un armazón interno dentro de la función principal de WinRAR que permite fusionar cualquier tipo de archivo, sin necesidad de generar uno específico para cada formato, mediante parcheo del ejecutable WinRAR.
  2. Elimina elementos gráficos de interfaz de usuario (GUI, Graphical User interface) como cuadros de mensajes y cuadros de diálogo que requieren la interacción del usuario, mediante la aplicación de parches en el ejecutable WinRAR. Algunos de estos cuadros de mensaje aparecen incluso en el modo CLI de WinRAR.
  3. Seleccionar un conjunto de formatos de archivo de una investigación muy interesante dirigida en 2005 por la Universidad de Oulu, https://www.ee.oulu.fi/roles/ouspg/PROTOS_Test-Suite_C10-archive
  4. Hacer fuzz en el programa con WinAFL para descubrir errores de código usando las opciones de línea de comandos de WinRAR para obligar al programa a analizar el “archivo roto” y establecer una contraseña predeterminada,

“Tras llevar a cabo todos estos pasos encontramos varios fallos en un corto periodo de tiempo, fundamentalmente debido a la extracción de varios formatos de archivo como RAR, LZH y ACE como consecuencia de la vulnerabilidad de corrupción de memoria (como escritura fuera de límites)”, señalan desde Check Point. “Asimismo, encontramos que WinRAR utiliza un dll llamado “unacev2.dll” para analizar los archivos ACE, pero que este sistema no cuenta con ningún mecanismo de protección moderna como ASLR, DEP, etc…”, añaden.

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario