Ya comenzaron a explotar las vulnerabilidades halladas en WinRAR y Drupal

Apenas se revelaron las vulnerabilidades, éstas comenzaron a ser explotadas por cibercriminales en el ciberespacio. Te contamos cómo en el siguiente artículo.

Recientemente informamos acerca de la revelación de vulnerabilidades que afectaban a WinRAR, Drupal y WordPress. Los cibercriminales aprovecharon estas revelaciones para, inmediatamente, desarrollar formas de monetizarlas. Es por eso que la recomendación es a mantener siempre todos tus programas actualizados, al día.

WinRAR

Apenas se supo de la vulnerabilidad hallada en el popular compresor de archivos WinRAR, ésta comenzó a ser explotada de inmediato, a través de una campaña de spam que esparcía malware.

La campaña fue descubierta por investigadores de 360 Threat Intelligence Center, quienes este lunes informaron que es “posiblemente el primer malware que se envía por email que explote esta vulnerabilidad”.

Si bien se lanzaron parches en enero, es poco probable que todos los 500 millones de usuarios de WinRAR hayan actualizado el software de inmediato, lo que hace efectiva esta campaña de malspam (spam malicioso).

Cuando una víctima abre el archivo distribuido por los atacantes utilizando la herramienta de compresión de archivos de datos WinRAR, el malware coloca CMSTray.exe en su carpeta de Inicio: C: \ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe

Cuando el computador vuelve a iniciarse, el archivo .exe malicioso infecta el sistema con malware. Hay una condición para que esto funcione, dijeron los investigadores: la víctima debe tener el Control de cuentas de usuario (UAC) en WinRAR desactivado para que funcione. Por ende, para protegerse de este ataque, activen el Control de Cuentas de Usuario o UAC en WinRAR.

Aunque el mejor consejo es actualizar WinRAR de inmediato a su versión parchada: 5.70 Beta 1.

Drupal

Investigadores de Imperva revelaron el lunes que los atacantes están apuntando a sitios web basados ​​en Drupal y entregando un cargador de shell junto a CoinIMP, un minero de criptomonedas escrito en Javascript .

Notaron que los atacantes están utilizando un exploit que se publicó un día después de que se reveló la vulnerabilidad, y que continúa funcionando incluso después de seguir la remediación propuesta por el equipo de Drupal de desactivar todos los módulos de servicios web y prohibir las solicitudes PUT/PATCH/POST a los recursos de servicios web.

«A pesar de la corrección, todavía es posible emitir una solicitud GET y, por lo tanto, realizar la ejecución remota de código como fue el caso con los otros métodos HTTP», advirtieron. Por lo tanto, los usuarios deben actualizar sus instalaciones de Drupal para cerrar el agujero de seguridad.

Los ataques se originaron desde varios países atacantes y se dirigieron a una variedad de sitios web.

Sin embargo, a diferencia de las vulnerabilidades anteriores de Drupal, esta solo afecta a un porcentaje relativamente pequeño de usuarios de Drupal: aquellos que usan Drupal 8 Y tienen una combinación específica de módulos de servicios web habilitados.