Solución a la vulnerabilidad en WinRAR CVE-2023-40477

WinRAR es una herramienta utilizada por millones de personas en todo el mundo y se ha convertido en una instalación esencial para muchos usuarios. La vulnerabilidad, identificada con el código CVE-2023-40477, fue descubierta por el investigador “goodbyeselene” de Zero Day Initiative, quien informó sobre este fallo al fabricante, RARLAB, el 8 de junio de 2023.

Según explica Josep Albors, director de investigación y concienciación de ESET España en su blog, esta brecha de seguridad habilitaba a un atacante para lograr la ejecución remota de código arbitrario en sistemas que utilizan versiones vulnerables de WinRAR. Esto se conseguía al hacer que el usuario abriera un archivo RAR modificado.

La brecha de seguridad

Aunque para aprovechar esta vulnerabilidad se requería la interacción del usuario para abrir un archivo modificado, no cabe subestimar el hecho de que los ciberdelincuentes utilizan esta táctica con éxito de manera cotidiana. Por esta razón, es esencial otorgar la debida importancia a esta vulnerabilidad, ya que no implica ejecutar un archivo contenido en una compresión para comprometer el sistema, sino simplemente abrir el archivo RAR en sí, omitiendo un paso y dando inicio a una cadena de infección.

De hecho, la solución de la vulnerabilidad en WinRAR es de gran importancia debido a las amplias oportunidades que brinda para que un atacante pueda explotarla, así como a la gran cantidad de posibles víctimas que podrían estar en riesgo.

Desafíos en las actualizaciones

El impacto de esta vulnerabilidad sería limitado si no fuera por el hecho de que la mayoría de los usuarios de WinRAR utilizan la versión gratuita, y pocos adquieren la versión completa que permite actualizaciones para resolver problemas como este. De hecho, es muy probable que la mayoría de las instalaciones de WinRAR sigan utilizando versiones antiguas y desactualizadas que no serán corregidas por los usuarios.

Este problema de actualización es inquietante, pero no es el único aspecto que los atacantes podrían explotar. Por ejemplo, se encuentra la capacidad de acceso directo a la memoria del sistema que WinRAR utiliza al comprimir y descomprimir archivos, almacenándolos temporalmente en la memoria RAM. Además, existe otra característica interesante que pocos usuarios aprovechan: la posibilidad de incluir scripts y enlaces a archivos externos dentro del archivo comprimido.

La versión 6.23 de WinRAR, que resuelve esta vulnerabilidad, ha estado disponible desde el 2 de agosto. Se recomienda a todos los usuarios actualizar a esta versión. Sin embargo, el obstáculo reside en que la mayoría de los usuarios no actualizará, dejándolos expuestos a esta vulnerabilidad y a otras que puedan surgir en el futuro. No obstante, Microsoft ha tomado medidas al respecto y ya está probando el soporte nativo para archivos comprimidos en formatos como RAR, 7-zip y GZ. Esto hará innecesario el software de terceros actualmente requerido para gestionar estos formatos.

Un avance crucial para la seguridad

La resolución de esta vulnerabilidad en una aplicación ampliamente utilizada es un recordatorio de que cualquier aplicación sin parchear ni actualizar puede convertirse en una puerta de entrada para los ciberdelincuentes. Por esta razón, es esencial invertir tiempo en mantener actualizado tanto el sistema operativo como las aplicaciones, y contar con soluciones de seguridad que ayuden a prevenir posibles intentos de explotación que pongan en riesgo la seguridad del sistema.

Antonio Adrados Herrero

Recent Posts

Humanoides en la plantilla y otras tendencias para el año que viene

Cisco comparte una lista con los cinco fenómenos tecnológicos que prevé que marcarán el rumbo…

1 hora ago

Los CIO, desarrolladores de front-end y científico de datos, entre los perfiles mejor pagados del sector tecnológico

Los profesionales de tecnología de la información, telecomunicaciones y comercio electrónico reciben un salario de…

2 horas ago

Konica Minolta muestra las capacidades de su solución de gestión documental Waidok

Ha reunido a directivos de diferentes sectores en Madrid para presentar esta herramienta basada en…

3 horas ago

Making Science lanza la división tecnológica Raising

Pensada para potenciar las estrategias de marketing con inteligencia artificial, incluye herramientas como ad-machina, Gauss…

4 horas ago

NVIDIA lanza un superordenador compacto y asequible para IA generativa

Jetson Orin Nano Super Developer Kit proporciona una plataforma potente para entrenar y perfeccionar herramientas…

4 horas ago

4 de cada 10 profesional ya redactan sus currículos con ayuda de la IA

Esta popularización de la inteligencia artificial pone en valor la parte humana de fases posteriores,…

5 horas ago