Vulnerabilidades Críticas en WinRAR y su Impacto en la Seguridad Informática

By /

WinRAR, reconocido como uno de los programas más utilizados globalmente para la compresión y descompresión de archivos, ha sido objeto de múltiples descubrimientos de vulnerabilidades críticas. Estas fallas de seguridad, que abarcan desde la ejecución remota de código hasta el path traversal, han exigido una atención inmediata por parte de desarrolladores y usuarios para mitigar riesgos significativos en el entorno digital.

CVE-2025-8088: Explotación Zero-Day por el Grupo RomCom

El 18 de julio de 2025, el equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió una vulnerabilidad de zero-day (previamente desconocida) en WinRAR que estaba siendo explotada activamente en campañas dirigidas.

Descubrimiento y Naturaleza de la Vulnerabilidad

La vulnerabilidad, rastreada como CVE-2025-8088, fue identificada como un fallo de path traversal (CWE-35). El análisis del exploit reveló que esta falla es posible gracias al uso de flujos de datos alternativos (ADS), lo que permite ocultar archivos maliciosos dentro de un archivo comprimido, los cuales se despliegan silenciosamente al ser extraídos.

El problema fundamental radica en cómo WinRAR maneja las rutas de archivo dentro de los archivos comprimidos, lo que permite a un atacante realizar un traversal de directorios (saltar a directorios no previstos). Mediante un archivo comprimido especialmente diseñado, un atacante puede ejecutar código arbitrario con los privilegios del usuario actual. Los archivos adjuntos a los correos maliciosos fueron creados para que en apariencia solo contuvieran un archivo benigno, mientras que en realidad albergaban múltiples ADS maliciosos, invisibles desde la perspectiva del usuario.

Mensaje de correo electrónico observado por ESET como parte de una campaña de spearphishing

Una vez que la víctima abre este archivo aparentemente inofensivo, WinRAR lo desempaqueta junto con todos sus ADS. Por ejemplo, en el caso de un archivo como "Eli_Rosenfeld_CV2 - Copia (10).rar", se despliega una DLL maliciosa en el directorio %TEMP%. De manera similar, se instala un archivo LNK malicioso en el directorio de inicio de Windows, logrando así la persistencia mediante su ejecución al iniciar sesión el usuario.

Captura de pantalla de un archivo RAR malicioso

Campaña de Explotación por el Grupo RomCom

Según la telemetría de ESET, estos archivos se utilizaron en campañas de spearphishing (un tipo de ataque de phishing altamente dirigido para obtener información confidencial o acceso a sistemas) entre el 18 y el 21 de julio de 2025. Esta campaña fue orquestada por el grupo RomCom (también conocido como Storm-0978, Tropical Scorpius o UNC2596), alineado con Rusia, y se dirigió a empresas financieras, de fabricación, defensa y logística en Europa y Canadá. En todos los casos, los atacantes enviaron un currículum vitae con la esperanza de que un objetivo curioso lo abriera. Aunque la telemetría de ESET no registró compromisos exitosos en esta campaña específica, destaca la intención.

El grupo RomCom lleva a cabo tanto campañas oportunistas contra sectores empresariales específicos como operaciones de espionaje selectivo. El backdoor comúnmente utilizado por este grupo es capaz de ejecutar comandos y descargar módulos adicionales en la máquina de la víctima. Esta es, al menos, la tercera vez que se ha descubierto a RomCom explotando una vulnerabilidad importante de zero-day. Ejemplos anteriores incluyen una falla en Microsoft Word en junio de 2023, y vulnerabilidades dirigidas a versiones de Firefox, Thunderbird y el navegador Tor en octubre de 2024.

“Al explotar una vulnerabilidad de zero-day previamente desconocida en WinRAR, el grupo RomCom ha demostrado que está dispuesto a invertir grandes esfuerzos y recursos en sus ciberoperaciones. Esta es al menos la tercera vez que RomCom utiliza una vulnerabilidad de zero-day in the wild, lo que pone de manifiesto su constante interés en adquirir y utilizar exploits para ataques selectivos. La campaña descubierta se dirigió a sectores que coinciden con los intereses típicos de los grupos APT alineados con Rusia, lo que sugiere una motivación geopolítica detrás de la operación.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Solución y Actualización

Tras una notificación inmediata por parte de ESET, RARLAB, el desarrollador de WinRAR, publicó una versión parcheada el 30 de julio de 2025. WinRAR 7.13 fue lanzado, indicando explícitamente que “otra vulnerabilidad de directory traversal, distinta a la de WinRAR 7.12, ha sido corregida”. Las notas de versión detallan que las versiones anteriores de WinRAR (y los componentes RAR/UnRAR para Windows, incluida UnRAR.dll) “pueden ser engañadas para usar una ruta definida dentro de un archivo especialmente diseñado en lugar de la especificada por el usuario”.

El grupo Paper Werewolf (GOFFEE) supuestamente combinó este nuevo fallo con CVE-2025-6218 en ataques contra organizaciones rusas. Además, semanas antes, un actor identificado como “zeroplayer” anunció en Exploit.in la supuesta venta de un zero-day de WinRAR por 80.000$; la firma Obrela documentó este anuncio el 17 de julio de 2025.

Otras Vulnerabilidades Importantes en WinRAR

CVE-2025-6218: Ejecución Remota de Código por Directory Traversal

Una grave vulnerabilidad de ejecución remota de código (RCE) identificada como CVE-2025-6218 ha sido descubierta en versiones anteriores de WinRAR. Esta falla, con una puntuación de 7.8 en la escala de severidad CVSS, permite a atacantes remotos ejecutar código malicioso si logran que el usuario interactúe con un archivo especialmente manipulado. El problema se origina en cómo WinRAR maneja las rutas de archivo dentro de los archivos comprimidos, lo que facilita a un atacante realizar traversal de directorios (salto a ubicaciones no previstas).

La vulnerabilidad detectada es del tipo directory traversal -formalmente Directory Traversal Remote Code Execution Vulnerability (ZDI-CAN-27198)- que permite que archivos maliciosos contenidos en un comprimido se extraigan en rutas manipuladas, posibilitando la ejecución de código o su activación al iniciar Windows. El fallo fue descubierto por el investigador de seguridad conocido como whs3-detonator y reportado el 5 de junio a través de la Zero Day Initiative. Fue corregida en la versión WinRAR 7.12 beta 1, publicada el 10 de junio de 2025.

Es importante señalar que esta vulnerabilidad llegó poco antes de CVE-2025-8088 (junio de 2025), siendo ambos fallos de directory traversal en WinRAR con un impacto similar (escritura fuera del directorio y posible RCE) y ambos requiriendo la interacción del usuario.

Vulnerabilidad Histórica en la Librería UNACEV2.DLL

Aunque la atención reciente se centra en fallas más actuales, WinRAR también ha lidiado con vulnerabilidades de larga data. Una de ellas, descubierta por investigadores de Check Point y que existió durante aproximadamente 19 años, se encontraba en una librería de terceros llamada UNACEV2.DLL. Esta librería permitía descomprimir archivos en formato ACE.

La mecánica de esta falla permitía que WinRAR detectara el formato de los archivos basándose en su contenido, y no en la extensión, lo que posibilitaba cambiar la extensión .ACE a .RAR para que pareciera un archivo normal, facilitando el engaño a los usuarios. WinRAR actuó rápidamente tras el descubrimiento y lanzó la versión 5.70 Beta para reparar el fallo.

Antecedentes de Explotación (2019)

En 2019, una vulnerabilidad crítica en el software WinRAR fue aprovechada por grupos de ransomware para distribuir archivos maliciosos con este tipo de malware, demostrando el historial de explotación de la herramienta.

Recomendaciones de Seguridad para Usuarios de WinRAR

Ante la recurrencia de estas vulnerabilidades, es fundamental que los usuarios de WinRAR tomen medidas proactivas para proteger sus sistemas:

  • Actualizar de inmediato: “Se recomienda a los usuarios de WinRAR que instalen la última versión lo antes posible para mitigar el riesgo. Además, es importante tener en cuenta que las soluciones de software que dependen de versiones de Windows disponibles públicamente de UnRAR.dll o su código fuente correspondiente también están afectadas, especialmente aquellas que no han actualizado sus dependencias.”, comenta Camilo Gutiérrez Amaya. Es crucial actualizar a WinRAR 7.13 y, si es posible, bloquear versiones anteriores.
  • Endurecer el manejo de adjuntos: Filtra o aísla archivos .rar/.zip externos y, si es imprescindible abrirlos, hazlo en un entorno aislado (sandbox).
  • Monitorear escrituras a rutas sensibles: Supervisa cualquier escritura en rutas sensibles (p. ej., Startup, AppData, ProgramData) realizada por procesos como WinRAR.exe o UnRAR.dll.
  • Implementar soluciones de seguridad avanzadas: Implementa soluciones de seguridad como antivirus/EDR que escaneen archivos comprimidos antes de su extracción y configura reglas para bloquear archivos con rutas sospechosas o dobles extensiones.
  • Reforzar la concienciación: Dado que estos ataques suelen requerir la interacción del usuario, la educación sobre técnicas de spearphishing y la identificación de archivos sospechosos es crucial para prevenir compromisos.

tags: #vulnerabilidad #win #rar

Publicaciones populares:

  • Vulneraciones de Derechos en Centros de Protección
  • Funciones de las Unidades Municipales
  • Neuropatía Compresiva e Incapacidad
  • Detalles de la Reforma de Pensiones chilena
  • Hipertensión en la tercera edad