CVE-2021-35052 vulnerabilidad de ejecución remota de código en Winrar

AS-102-2021

Fecha: 21/Oct/2021

Resumen:

El investigador de seguridades Igor Sak-Sakovskiy, publicó en PT SWARM, un artículo en donde indica que el software "Tryware" Winrar, en su versión 5.70 para Windows, es vulnerable a un ataque de ejecución remota de código.

Se determina que la versión vulnerable, terminado el periodo de evaluación, presenta una pantalla web una de cada tres veces que se ejecuta. Esta pantalla basa su funcionalidad en el DLL mshtml.dll.

Mediante captura de tráfico con un proxy, se puede modificar la petición web que realiza Winrar, y modificando la petición a "301 Moved Permanently" se puede dejar en cache la URL del atacante.

Para realizar el ataque de hombre en el medio se requiere generar un ARP-spoofing, con lo que la vulnerabilidad puede ser explotada por un atacante que ya se encuentre en la red interna.

Es importante que las organizaciones desarrollen una postura de seguridad, y controlen de la mejor manera posible el software de terceros que se instala en premisas.

Si ya cuenta con la versión vulnerable y requiere el software, es necesario que lo actualice a la versión estable liberada por el fabricante.

Referencias:

https://swarm.ptsecurity.com/winrars-vulnerable-trialware-when-free-software-isnt-free/
https://thehackernews.com/2021/10/bug-in-free-winrar-software-could-let.html