Análisis de la vulnerabilidad CVE-2023-38831 de WinRAR con OPSWAT

Por OPSWAT

18 de enero de 2024 Última actualización: 5 de diciembre de 2024

Comparte esta publicación

A principios de septiembre de 2023, OPSWAT el Programa de Becas para Estudiantes de Posgrado, que ofrece a los estudiantes de posgrado una oportunidad única para estudiar y abordar vulnerabilidades de ciberseguridad reales que afectan a los sistemas de infraestructuras críticas.

Para dar a conocer los resultados del Programa de Becas OPSWAT , nos complace presentar una serie de entradas de blog sobre análisis técnico centradas en diversas vulnerabilidades y exposiciones comunes (CVE), identificadas y mitigadas gracias a nuestras tecnologías avanzadas de detección de amenazas.

Equipo SWAT 1 de becas de posgrado, formado por Hien Pham, de la Universidad de Ciencias, y Khang Doan, de la Universidad FPT de Can Tho — Equipo de becas de posgrado 1 - SWAT 1

En este blog, explicaremos la vulnerabilidad CVE-2023-38831 de WinRAR de RARLAB y cómo las organizaciones pueden protegerse contra los ataques que aprovechan esta vulnerabilidad.

Antecedentes sobre CVE-2023-38831

WinRAR, una herramienta de compresión y archivo de archivos muy extendida que admite diversos formatos, cuenta con más de 500 millones de usuarios en todo el mundo.
Group-IB ha identificado recientemente que las versiones de WinRAR de RARLAB anteriores a la v6.23 presentan una vulnerabilidad de día cero, que los ciberdelincuentes llevan explotando activamente desde al menos abril de 2023 en campañas dirigidas a operadores financieros.
Los analistas de NVD han asignado una puntuación CVSS de 7,8 (ALTA) a la vulnerabilidad CVE-2023-38831, designada oficialmente por MITRE Corporation el 15 de agosto de 2023.

Cronología de las vulnerabilidades de WinRAR

Infografía de la cronología de los ataques a WinRAR, en la que se detallan las principales brechas de ciberseguridad ocurridas entre abril y octubre de 2023, con los países y sectores afectados resaltados

Explicación de la vulnerabilidad de WinRAR

Los becarios OPSWAT llevaron a cabo un análisis exhaustivo del aprovechamiento de la vulnerabilidad CVE-2023-38831, que afecta a las versiones de WinRAR anteriores a la 6.23. El contenido malicioso abarca varios tipos de archivos y se encuentra dentro del archivo ZIP.

Para aprovechar la vulnerabilidad CVE-2023-38831, los atacantes crean un archivo ZIP malicioso que contiene archivos dañinos dentro de una carpeta cuyo nombre imita el de un archivo inofensivo.

Captura de pantalla de la ventana de la aplicación WinRAR en la que se muestra el contenido del archivo «Strategy.zip», que contiene los archivos «strategy.pdf» y «strategy.pdf.cmd», lo que indica un posible riesgo de seguridad

Tanto el archivo inofensivo como la carpeta terminan con un espacio. El archivo malicioso se colocará en una carpeta cuyo nombre se parezca mucho al del archivo inofensivo.

Fragmento de código de un terminal que muestra una estructura de archivos con un archivo inofensivo llamado «strategy.pdf» y un directorio que contiene un archivo malicioso llamado «strategy.pdf.cmd», lo que indica un ataque mediante un archivo.

Cuando los usuarios intentan abrir el archivo inofensivo «strategy.pdf»con WinRAR, este programa extrae todos los archivos que comparten el mismo nombre que el archivo de destino y los guarda en un directorio temporal dentro de la ruta %TEMP%.

Captura de pantalla que muestra el registro de un monitor de procesos con operaciones de archivo que indican la creación, extracción y apertura de archivos potencialmente relacionados con un exploit de WinRAR

Si un directorio tiene el mismo nombre que el archivo seleccionado, al extraerlo se copiarán tanto el archivo seleccionado como los archivos que contiene ese directorio a la carpeta temporal.

El siguiente pseudocódigo ilustra la lógica de extracción de WinRAR y determina si se debe extraer una entrada del archivo.

Fragmento de código Python en la ventana de un editor que muestra una función diseñada para extraer y comparar elementos de un archivo zip, posiblemente con fines de análisis de seguridad

Durante el proceso de creación del contenido del archivo, WinRAR ajusta las rutas de los archivos eliminando los espacios añadidos mediante un procedimiento conocido como «normalización de rutas».

Ventana del explorador de archivos en la que se muestran los archivos «strategy.pdf» y «strategy.pdf.cmd», lo que sugiere que se trata de una prueba de seguridad para detectar un archivo ejecutable camuflado

Tras la extracción, WinRAR inicia la ejecución del archivo mediante ShellExecuteExW. Sin embargo, la función utiliza una ruta no normalizada como entrada. El último carácter de espacio se interpreta erróneamente como un asterisco, lo que provoca la ejecución del archivo «strategy.pdf.cmd»en lugar del archivo seleccionado originalmente.

Ventana de la aplicación WinRAR abierta en un archivo «strategy.pdf» con una línea de comandos que indica la ejecución, como parte de una prueba de vulnerabilidad de seguridad

Simulación y detección con OPSWAT MetaDefender

La prueba de concepto (POC) para CVE-2023-38831 lleva ya algún tiempo disponible, y los autores de amenazas la están aprovechando activamente en campañas actuales. Para simular la vulnerabilidad CVE-2023-38831, los becarios de posgrado de OSPWAT utilizaron la MetaDefender , lo que permitió obtener información práctica sobre la detección de amenazas.

Mecánicas de explotación

Los usuarios se enfrentan a diario a un riesgo considerable derivado de las amenazas cibernéticas, sobre todo a medida que los canales de intercambio de información siguen expandiéndose. Los delincuentes suelen aprovechar esta vulnerabilidad ocultando elementos dañinos en archivos descargables, como archivos ZIP, que contienen enlaces maliciosos incrustados. Otra táctica habitual es el phishing por correo electrónico, en el que los usuarios reciben archivos adjuntos dañinos en sus direcciones de correo electrónico.

Flujo de explotación

Diagrama que muestra un proceso de explotación de la ciberseguridad en el que intervienen un actor malicioso, un usuario objetivo y el uso de un archivo ZIP malicioso que aprovecha vulnerabilidades de WinRAR

Cuando los usuarios hacen doble clic para abrir el archivo, se activa un código malicioso que da lugar a la creación de un shell inverso que se conecta con el autor de la amenaza. Una vez establecida la conexión, el atacante puede aprovechar los comandos de ejecución para comprometer por completo el dispositivo de la víctima.

Pantalla del terminal de Kali Linux que muestra una interacción de red, probablemente simulando un ataque o probando las defensas de seguridad de la red

Proceso de simulación de vulnerabilidades

Ventana del explorador de archivos en la que se detalla una técnica de explotación mediante la cual WinRAR busca un archivo con un nombre similar al de un archivo legítimo para ejecutar malware

Corrección de vulnerabilidades

Existen algunas estrategias clave para solucionar esta vulnerabilidad.

Actualiza WinRAR a la versión 6.23 o posterior, que limpia adecuadamente los nombres de los archivos ZIP antes de la extracción para bloquear los ataques.
Configura los filtros de nombres de archivos ZIP mediante la Política de grupo o los ajustes del Registro como medida de mitigación temporal antes de actualizar.
Analiza con herramientas antivirus los archivos ZIP descargados de fuentes desconocidas antes de descomprimirlos.
Evita descomprimir archivos ZIP recibidos a través de medios no solicitados, como correos electrónicos sospechosos.

OPSWAT

La vulnerabilidad CVE-2023-38831 de WinRAR se puede identificar y detectar mediante las siguientes soluciones:

OPSWAT MetaDefender Core

MetaDefender Core ofrece una seguridad integral para la carga de archivos con el fin de proteger contra el malware y las filtraciones de datos. OPSWAT MetaDefender proteger la infraestructura crítica mundial frente a las amenazas basadas en archivos más sofisticadas: malware evasivo avanzado, ataques de día cero y APT (amenazas persistentes avanzadas).

MetaDefender Core y analiza los instaladores de WinRAR utilizando File-based Vulnerability Assessment para detectar vulnerabilidades conocidas antes de su ejecución en los dispositivos finales. Para contrarrestar los ataques de archivos falsificados como el CVE-2023-38831, el procesamiento de archivos ZIP mediante File Type Verification . Esta tecnología verifica los tipos de archivo basándose en el contenido, no en extensiones poco fiables. MetaDefender Core aprovecha Multiscanning, analizando archivos ZIP con más de 30 motores antimalware que utilizan firmas, heurística y aprendizaje automático para identificar de forma proactiva más del 99 % del malware. Este enfoque multicapa ayuda a detectar rápidamente el malware asociado a las CVE.

Panel de control de seguridad de OPSWAT un archivo WinRAR autoextraíble bloqueado, con una evaluación detallada de la vulnerabilidad que incluye los identificadores CVE y las clasificaciones de gravedad

OPSWAT MetaDefender Endpoint

MetaDefender Endpoint detecta aplicaciones de riesgo y ofrece opciones de corrección para resolver posibles problemas de seguridad. Garantizar la seguridad sólida de su organización requiere dedicar mucho tiempo a la aplicación de parches. Es fundamental estar atento a los indicadores de ataques e identificar rápidamente los signos de intentos de explotación o intrusión. OPSWAT MetaDefender Endpoint un activo en su conjunto de herramientas que facilita la aplicación de parches y la actualización de vulnerabilidades, como WinRAR, a la última versión.

Informe de vulnerabilidades de seguridad de WinRAR (x64) en el que se enumeran dos vulnerabilidades de gravedad moderada, CVE-2023-38831 y CVE-2023-40477, con puntuaciones y detalles de la versión

Reflexiones finales

La vulnerabilidad CVE-2023-38831 requiere una atención inmediata debido al uso generalizado de WinRAR y a la facilidad con la que puede ser explotada. La detección temprana es fundamental, y OPSWAT MetaDefender capacidades avanzadas de detección y mitigación de amenazas. Como profesionales de la ciberseguridad, es fundamental mantenerse al día, implementar medidas de seguridad sólidas y fomentar una cultura de concienciación sobre la ciberseguridad.

Si quieres conocer más proyectos de simulación de amenazas cibernéticas del Programa de Becas OPSWAT , suscríbete y echa un vistazo a nuestras últimas entradas del blog.

Habla con un experto

Etiquetas:

MetaDefender

Últimas publicaciones

La detección basada en IA elimina las brechas de «día cero» y de latencia en tu proceso de seguridad
18 de junio de 2026
Por qué las decisiones de seguridad autónomas y no reguladas suponen un riesgo para las infraestructuras críticas
17 de junio de 2026
Un líder mundial del sector energético pasa de las vulnerabilidades heredadas a Industrial moderna
17 de junio de 2026
Lanzamiento de MetaDefender v4.4.5: verificación acelerada de dispositivos y notificaciones automáticas de análisis
16 de junio de 2026
La seguridad de los centros de datos modernos en la era de la convergencia entre TI y TO
12 de junio de 2026

Suscríbete al OPSWAT de OPSWAT

Recibe las últimas novedades OPSWAT , junto con información sobre eventos y las noticias que impulsan el avance del sector.

Inscríbeme

Síguenos en Media sociales

¡Sigue a OPSWAT LinkedIn, Facebook, Twitter y YouTube para estar al día!

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.