La vulnerabilidad detectada en WinRAR 7.13, conocida como falla de recorrido de directorio, permite que archivos comprimidos elaborados de manera específica extraigan archivos en una ubicación determinada por el atacante.

Los atacantes pueden aprovechar esta vulnerabilidad para crear archivos comprimidos que extraen ejecutables en rutas de ejecución automática, como la carpeta de inicio de Windows, que se encuentra en:

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local para el usuario)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (A nivel de equipo)

La próxima vez que un usuario inicie sesión, el ejecutable se ejecutará automáticamente, lo que permite al atacante ejecutar código remoto. Dado que WinRAR no incluye una función de actualización automática, se recomienda encarecidamente a todos los usuarios que descarguen e instalen manualmente la última versión desde win-rar.com para protegerse de esta vulnerabilidad.

La vulnerabilidad fue identificada por Anton Cherepanov, Peter Košinár y Peter Strýček de ESET. Strýček comentó a BleepingComputer que estaba siendo utilizada de manera activa en ataques de phishing para la instalación de malware. "ESET ha detectado correos electrónicos de phishing dirigidos que incluyen archivos adjuntos con documentos RAR", indicó Strýček a BleepingComputer.