Los investigadores han publicado un explicación sobre cómo encontraron y funciona el agujero de seguridad de WinRAR, cuyo detonante se encuentra en una biblioteca de enlace dinámico (.DLL) insegura llamada UNACEV2.DLL usada para descomprimir archivos .ACE, un formato en desuso. Los técnicos simplemente cambiaron la extensión de un archivo .ACE a .RAR e hicieron que software lo descomprimiera en una localización determinada. El proceso se completa de forma correcta, pero un fallo en el mencionado .DLL permite al atacante extraer de forma paralela y sin que lo sepa el usuario un archivo malware.
Check Point Software ha mostrado un breve pero muy ilustrativo vídeo. En él se puede ver cómo WinRAR extrae un archivo inofensivo en el lugar que se le indica, pero al mismo tiempo y sin que se perciba, también se coloca un programa malicioso en la carpeta Startup, que en consecuencia se ejecutará automáticamente cada vez que arranque el ordenador afectado.
Cuando el equipo de WinRAR fue informado de esta vulnerabilidad la solucionó lanzando la versión 5.70 beta 1. Al tratarse de un .DLL de un tercero que no se actualiza desde 2007, el remedio pasó por abandonar el soporte para archivos .ACE. Se desconoce si este ataque se ha usado durante los 19 años que ha estado activa la vulnerabilidad, pero teniendo en cuenta que WinRAR presume de tener más de 500 millones de usuarios oportunidades no habrán faltado.
Los clientes de WinRAR deben actualizar rápidamente el programa o echar un vistazo a alternativas gratuitas y de código abierto como 7-Zip.