Vulnerabilidad crítica en WinZip permite eludir la protección Mark-of-the-Web (MotW) de Windows
Una vulnerabilidad crítica ha sido identificada en WinZip, uno de los programas de compresión de archivos más utilizados. Este fallo permite a los atacantes evadir la función de seguridad Mark-of-the-Web (MotW) de Windows, lo que podría resultar en la ejecución de código malicioso sin previa advertencia en los sistemas afectados.
¿Qué es Mark-of-the-Web (MotW)?
El Mark-of-the-Web (MotW) es una característica de seguridad implementada por Microsoft en Windows para proteger a los usuarios contra archivos descargados desde Internet. Cuando un archivo se descarga desde la web, Windows le asigna una “marca” (MotW) que indica su origen externo. Esta marca activa advertencias de seguridad y restricciones al ejecutar el archivo, como solicitar confirmación al usuario o bloquear contenido activo (scripts, macros, etc.).
Detalles de la vulnerabilidad en WinZip
La vulnerabilidad descubierta permite a un atacante manipular archivos ZIP maliciosos para que, al ser descomprimidos con WinZip, no se aplique la marca MotW. Como resultado:
- Los archivos extraídos no son identificados como procedentes de Internet.
- Windows no muestra advertencias de seguridad al ejecutarlos.
- Contenido malicioso (como scripts o ejecutables) puede ejecutarse sin interacción del usuario.
Esta técnica es especialmente peligrosa en combinación con ataques de phishing, donde un usuario confiado descarga y descomprime un archivo ZIP aparentemente legítimo.
Implicaciones de seguridad
El bypass de MotW tiene graves consecuencias:
- Ejecución silenciosa de malware: Ransomware, spyware u otro código malicioso puede activarse sin alertas.
- Evasión de protecciones: Herramientas como SmartScreen (basadas en MotW) quedan inutilizadas.
- Aumento de superficie de ataque: Técnicas como “Living-off-the-Land” (uso de herramientas legítimas) se vuelven más efectivas.
Recomendaciones de mitigación
Hasta que WinZip lance un parche oficial, se recomienda:
- Actualizar WinZip a la última versión disponible.
- Usar alternativas como 7-Zip o el compresor nativo de Windows para archivos sospechosos.
- Configurar políticas de grupo para restringir ejecución de archivos sin MotW.
- Educar a usuarios finales sobre riesgos de abrir archivos ZIP de remitentes desconocidos.
Para más detalles técnicos sobre esta vulnerabilidad, consulta la Fuente original.
Conclusión
Esta vulnerabilidad subraya la importancia de mantener software actualizado y aplicar defensas en profundidad. Aunque MotW es una capa crítica de seguridad, su efectividad depende de que aplicaciones como WinZip la implementen correctamente. Organizaciones deben monitorizar activamente este tipo de fallos y ajustar sus controles de seguridad acorde.
