Una vulnerabilidad crítica ha sido encontrada en la última versión de WinRAR, la popular utilería para compresión y descompresión de archivos en Windows, puede ser explotada por ataques remotos para comprometer una máquina en la cual ha sido instalado el software.

"El problema se localiza en la función 'Texto e Icono' del módulo 'Texto para mostrar en la ventana SFX'", explicó Vulnerability Lab en un mensaje de la lista de correo Full Disclosure. "Atacantes remotos pueden habilitarse para generar su propio compresor de archivos con payloads maliciosos y así ejecutar código específico en el sistema que van a comprometer".

La falla es crítica, ya que la explotación requiere la interacción de usuarios normales sin privilegios en el sistema o cuentas de usuarios restringidos. Las víctimas sólo tienen que abrir un archivo trampa, el cual puede ser entregado fácilmente vía correo electrónico, y el ataque se ejecutará exitosamente.

Mohammad Reza Espargham, investigador de Vulnerability Lab quien descrubrió la falla, también creó y publicó un exploit PoC para ello disponible en este video:

El error sólo afecta a la última versión de WinRAR, v5.21 y fue revelado públicamente el lunes, no está claro si los desarrolladores de WinRAR fueron informados al respecto. Hasta el momento no se conocen datos que indiquen si ya se ha corregido el error.

Pieter Arntz, investigador de Malwarebytes, confirmó que el exploit PoC proporcionado por Reza fue funcional (con ajustes menores). Él pide a los usuarios ser cuidadosos cuando manipulen archivos SFX comprimidos que no hayan sido solicitados y actualizar el software tan pronto esté disponible la corrección para la falla.