Desde hace algún tiempo hay señales de una nueva tendencia en la escena criminal. La búsqueda de vulnerabilidades continúa. Pero sobre todo en el caso del software no estándar de uso muy extendido, ya que la actualización se vuelve más difícil. El ejemplo más reciente es la herramienta de compresión WinRAR. Un comentario de Trend Micro.
En uno el 02 de agosto En un comunicado publicado, el fabricante RARLAB describió dos vulnerabilidades notables cuya explotación ya ha sido probada y/o es relativamente fácil de explotar. La vulnerabilidad CVE-2023-38831 describe que el malware puede "introducirse de contrabando" en archivos especialmente preparados, mientras que CVE-2023-40477 permite ejecutar código en una máquina afectada. Ambos problemas se pueden resolver actualizando a la última versión de WinRAR. Pero las actualizaciones también hay que realizarlas y eso es lo que causa dificultades a muchas empresas.
WinRAR: Pequeña vulnerabilidad – gran impacto
¿Qué tan grande es el peligro? Esto es dificil de decir. Aparentemente ya existen archivos “en estado salvaje” para CVE-2023-38831 que confirman la explotación. En su caso, los “malos” fueron más rápidos. Hasta ahora, este tipo de ataques se han encontrado casi exclusivamente en el mundo de las criptomonedas. Las soluciones de seguridad de las empresas normalmente pueden mantener estos ataques bajo control de forma fiable utilizando métodos de detección modernos.
Las cosas se ponen más interesantes en 2023-40477. Fue descubierto por investigadores de seguridad y, por tanto, no se trata de un "día cero". En 7.8, la vulnerabilidad tiene una puntuación CVSS baja según los estándares de ejecución remota de código (RCE) y no está clasificada como crítica, sino más bien "importante". La razón es que debe ocurrir la interacción del usuario. En teoría, sólo alguien con acceso a una máquina puede explotarla.
Este es uno de esos casos en los que la teoría y la práctica dependen de muchas cosas. Tener acceso es el objetivo de todas las acciones de los ciberdelincuentes, especialmente en el sector empresarial. Basta con que un sistema vulnerable acceda a sitios web preparados o abra el archivo correspondiente. Estos patrones de ataque de ransomware estándar permiten explotar la vulnerabilidad y ejecutar el código correspondiente. Por lo tanto, es sólo cuestión de tiempo que esto se haga.
La simple actualización de WinRAR brinda seguridad
Ambas brechas se pueden solucionar con una simple actualización a la última versión. Pero esto también suele ser un desafío para las empresas. Porque no es un software estándar. Puede que no exista un mecanismo central de actualización e incluso puede ocurrir que los administradores no sean conscientes de la existencia del software. Si no conoce los antecedentes, el valor relativamente bajo del CVSS (Sistema de puntuación de vulnerabilidad común) es algo que garantiza una baja priorización en el contexto corporativo. Todas estas son razones por las que los piratas informáticos eligen estos agujeros de seguridad para atacar. Muchas veces no se conocen y, aunque lo sean, se consideran de bajo riesgo. Según Richard Werner, consultor empresarial de Trend Micro.
Más en Trendmicro.com
Acerca de Trend Micro Como uno de los principales proveedores de seguridad de TI del mundo, Trend Micro ayuda a crear un mundo seguro para el intercambio de datos digitales. Con más de 30 años de experiencia en seguridad, investigación de amenazas globales e innovación constante, Trend Micro ofrece protección para empresas, agencias gubernamentales y consumidores. Gracias a nuestra estrategia de seguridad XGen™, nuestras soluciones se benefician de una combinación intergeneracional de técnicas de defensa optimizadas para entornos de vanguardia. La información de amenazas en red permite una protección mejor y más rápida. Optimizadas para cargas de trabajo en la nube, terminales, correo electrónico, IIoT y redes, nuestras soluciones conectadas brindan visibilidad centralizada en toda la empresa para una detección y respuesta más rápidas a las amenazas.