CVE-2023-38831
Fecha: 23 de agosto de 2023
Nivel de Impacto: Alto
El pasado 24 de agosto del 2023, fue divulgada una vulnerabilidad de ejecución de código arbitrario que afecta al software de compresión de archivo WinRAR en su versión 6.22 y anteriores. El descubrimiento de esta vulnerabilidad es atribuida a investigadores del Group-IB.
La vulnerabilidad catalogada como CVE-2023-38831 fue descubierta cuando los investigadores de Group-IB seguían la pista de amenazas relacionadas a DarkMe, un troyano dirigido a plataformas comerciales en varios países. Estos investigadores se percataron de varios archivos comprimidos especialmente diseñados y distribuidos a través de foros relacionados con el comercio, como Forex Station, para distribuir diversas familias de malware, como DarkMe, GuLoader y Remcos RAT.
La explotación de esta vulnerabilidad permite la ejecución de código remoto, los actores de amenaza se aprovechan de esto para obtener acceso a cuentas comerciales de la víctima y realizar transacciones no autorizadas para retirar sus fondos.
La CVE-2023-38831 es provocada por un error de procesamiento al abrir un archivo ZIP especialmente diseñado para explotarla, esto ocurre ya que WinRAR permite la duplicidad de nombres entre los archivos y directorios comprimidos.
Al ser ejecutado un archivo legítimo y un directorio malicioso comprimidos con el mismo nombre, ocurre un conflicto de comparación que finalmente explota la vulnerabilidad al descomprimir el directorio malicioso y finalmente ejecutar un fichero .cmd inyectado.
La forma de mitigar la vulnerabilidad es instalando un parche que fue publicado por RarLab desarrolladores de WinRAR para la versión 6.23.
