# CVE-2018-20250 > [!high] WinRAR Path Traversal em ACE - 500 Milhões de Usuários Afetados > CVE-2018-20250 é uma vulnerabilidade de path traversal no WinRAR que existe há **19 anos** na biblioteca **UNACEV2.DLL**. Permite que um arquivo ACE malicioso extraia um executável diretamente na pasta de Inicialização do Windows, resultando em persistência automática sem interação além da extração do arquivo. ## Visão Geral CVE-2018-20250 foi descoberta em fevereiro de 2019 por pesquisadores da Check Point Research que identificaram uma vulnerabilidade na biblioteca **UNACEV2.DLL** utilizada pelo WinRAR para processar arquivos no formato ACE. A falha existe desde pelo menos o ano 2000 - quando a biblioteca foi compilada pela última vez - e afeta todas as versões do WinRAR lançadas nos 19 anos seguintes. A vulnerabilidade permite que um arquivo .ACE malicioso (renomeado para .RAR para disfarce) extraia arquivos para qualquer caminho no sistema, ignorando a pasta de destino selecionada pelo usuário. O vetor mais comum é a extração para `C:\Users\[usuário]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\`, garantindo persistência automática no próximo login sem UAC ou privilégios elevados. Com uma base instalada estimada em **500 milhões de usuários**, o impacto potencial foi histórico. Múltiplos grupos APT, incluindo **APT33** (Iran) e grupos ligados à Índia (SideWinder), rapidamente incorporaram exploits de CVE-2018-20250 em suas campanhas de phishing após a divulgação pública. > [!latam] Relevância para Brasil e LATAM > O WinRAR é um dos aplicativos mais populares no Brasil, amplamente utilizado para compactação de arquivos em empresas e uso pessoal. Campanhas de phishing com arquivos RAR/ACE maliciosos foram identificadas específicamente contra usuários brasileiros, aproveitando a popularidade do WinRAR para estabelecer persistência em sistemas corporativos da região. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Path Traversal / Arbitrary File Write | | Biblioteca | UNACEV2.DLL | | Formato explorado | .ACE (renomeado para .RAR) | | Persistência | Extração para pasta Startup do Windows | | Privilégios necessários | Nenhum (user-level) | | CVSS | 8.8 (High) | | CISA KEV | Sim | ## TTPs Relacionadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] ## Mitigação - Atualizar WinRAR para versão 5.70 ou superior imediatamente (UNACEV2.DLL foi removida) - Considerar migração para alternativas que não utilizem a biblioteca legada - Implementar monitoramento da pasta Startup do usuário para arquivos novos - Aplicar [[m1049-antivirus-antimalware|M1049 - Antivirus/Antimalware]] com análise de arquivos compactados - Usar [[m1038-execution-prevention|M1038 - Execution Prevention]] para bloquear execução de conteúdo não assinado da pasta Startup ## Referências - [Check Point Research - WinRAR CVE-2018-20250](https://research.checkpoint.com/2019/extracting-code-execution-from-winrar/) - [CISA KEV - CVE-2018-20250](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2018-20250](https://nvd.nist.gov/vuln/detail/CVE-2018-20250)