Pesquisadores de segurança cibernética do grupo Threat Analysis Group (TAG), do Google, divulgaram nesta quarta-feira (18) uma falha de segurança do WinRAR — famoso aplicativo de compactação de arquivos com mais de 500 milhões de usuários em todo o mundo.

Catalogada como CVE-2023-38831, a vulnerabilidade permitia que hackers executassem códigos arbitrários maliciosos por meio da abertura de arquivos benignos — como uma imagem em PNG — compactados em um formato ZIP no Windows. Não há indícios de que a brecha tenha sido explorada no macOS ou sistemas operacionais baseados em Linux.

Segundo o TAG, o bug é uma vulnerabilidade lógica que causa a expansão extrínseca de dados temporários ao processar arquivos. O fator que possibilitava a invasão do dispositivo era uma “peculiaridade” do ShellExecute do Windows, uma função que permite que aplicativos visualizem e executem arquivos ou pastas.

O processo ocorria da seguinte forma: ao clicar duas vezes em um arquivo benigno na interface do usuário do WinRAR, em versões anteriores à 6.23, o aplicativo executaria essa função utilizando uma extensão do Prompt de Comando.

No exemplo fornecido pelo Google, ao clicar um arquivo benigno chamado de “poc.png_” (o sublinhado representa um espaço), o aplicativo executa a função “poc.png_/poc.png_.cmd”. O WinRAR, então, tenta determinar quais arquivos precisam ser expandidos temporariamente, listando todas as possíveis entradas de arquivo.

O problema está na maneira como essa correspondência é feita. Caso uma pasta fosse encontrada com o mesmo nome da entrada selecionada, tanto o arquivo selecionado quanto as fotos, vídeos, documentos e texto e outros arquivos dentro de uma pasta correspondente eram extraídos para a raiz de um diretório temporário.

Ao gravar o conteúdo dos arquivos, o WinRAR realiza a normalização de caminho para remover os espaços acrescentados, dado que não reconhece arquivos com caracteres de espaço ao final de seus nomes. Devido a uma peculiaridade no ShellExecute, o aplicativo executa qualquer arquivo com espaço à direita, mesmo que o usuário não tenha clicado.

Os especialistas descobriram que a vulnerabilidade estava sendo explorada por grupos de cibercriminosos subsidiados por autoridades governamentais desde abril de 2023.

Uma atualização corretiva foi liberada em agosto, mas o TAG alerta que vários usuários ainda estão executando versões antigas do aplicativo, portanto, continuam suscetíveis a ataques. Conforme detalhado pelo Group-IB, as explorações tinham foco em investidores para entregar várias famílias de malware orientados a commodities.

As devidas correções estão disponíveis nas versões a partir do WinRAR 6.23 e 6.24, mas é necessário realizar a instalação manualmente pelo site do aplicativo, dado que não suporta atualizações automáticas. Para baixar a versão mais recente do compactador de arquivos, acesse o link a seguir e escolha o idioma desejado:

• WinRAR: baixar versão mais recente