WinRAR Sicherheitslücke ermöglicht Backdoor-Angriff
Ein neues Exploit hat WinRAR als Ziel - Angriffe auf Windows-Computer sind durch Backdoor möglich. In der neuen Version 5.70 haben die Entwickler die Sicherheitslücke nun geschlossen. Nutzer sollten daher ältere Versionen patchen bzw updaten. Die Lücke ermöglicht es Angreifern Schadcode auf dem Rechner auszuführen. Die Lücke wird derzeit aktiv ausgenutzt um Malware zu verbreiten.
Manipulierte Packte bzw Archivdateien im ACE-Format welche als RAR umbenannt sind lösen beim Entpacken eine Backdoor Installation aus. Nach dem Neustart des Rechners wird das im Autostart hinterlegte Schadprogramm ausgeführt. Anschließend kann der Angreifer den Opfer-PC fernsteuern.
Das Hinzufügen der Malware im Autostart funktioniert aber nur ohne Sicherheitsnachfrage, wenn die Benutzerkontensteuerung (UAC) von Windows deaktiviert ist.
Beispielsweise unter Windows 10 ist der Schutz standardmäßig aktiv und der Entpackvorgang des präparierten Archivs löst eine UAC-Nachfrage aus, ob man wirklich in diesen Ordner schreiben will. Klickt man auf "Nein", gelangt der Schädling nicht in den Autostart. Aus Sicherheitsgründen ist es generell empfehlenswert, UAC auf die höchste Stufe zu stellen.
Uralt-Lücke
Die Schwachstellen sind bereits 19 Jahre alt und finden sich im Umgang mit ACE-Archiven. Wie dieser Fall nun zeigt, funktioniert eine Attacke aber offensichtlich auch mit RAR-Archiven. Setzen Angreifer an den Lücken an, können sie einen Directory-Traversal-Angriff ausführen und so Schadcode in diversen Ordnern platzieren. In der reparierten Beta-Version haben die WinRAR-Entwickler die ACE-Unterstützung gestrichen und so die Schwachstelle aus dem Weg geräumt.
Die Bugs finden sich in der Programmbibliothek unacev2.dll, die WinRAR zum parsen von ACE-Archiven nutzt. Die Bibliothek wurde im Jahr 2006 ohne Sicherheitsmechanismen wie Address Space Layout Randomization (ASLR) kompiliert. Wie die Sicherheitsforscher darauf kommen, dass WinRAR seit 19 Jahren über diese Fehler attackierbar ist, ist unklar. Wahrscheinlich gibt es die verwundbare Bibliothek einfach schon länger.
Trojaner im Autostart
Die Sicherheitsforscher konnten einen Directory-Traversal-Angriff ausführen. Sie haben einen Exploit entwickelt, der dafür sorgt, dass wenn ein Opfer ein präpariertes ACE-Archiv entpackt, die Daten im Autostart von Windows landen.
Vorsicht ist also immer bei Dateianhängen geboten von unbekannten Absendern, da es viele weitere Lücken in anderen Archiv Programmen gibt, die ggf. nicht auf der neusten Version installiert sind und damit Angreifbar. Die RAR Archive sind vor allem in Tauschbörsen das gängige Format, hier könnten Angreifer zahlreiche Opfer finden.
Die aktuelle WinRAR-5.70 Version zum Download: WinRAR archiver, a powerful tool to process RAR and ZIP files
Manipulierte Packte bzw Archivdateien im ACE-Format welche als RAR umbenannt sind lösen beim Entpacken eine Backdoor Installation aus. Nach dem Neustart des Rechners wird das im Autostart hinterlegte Schadprogramm ausgeführt. Anschließend kann der Angreifer den Opfer-PC fernsteuern.
Das Hinzufügen der Malware im Autostart funktioniert aber nur ohne Sicherheitsnachfrage, wenn die Benutzerkontensteuerung (UAC) von Windows deaktiviert ist.
Beispielsweise unter Windows 10 ist der Schutz standardmäßig aktiv und der Entpackvorgang des präparierten Archivs löst eine UAC-Nachfrage aus, ob man wirklich in diesen Ordner schreiben will. Klickt man auf "Nein", gelangt der Schädling nicht in den Autostart. Aus Sicherheitsgründen ist es generell empfehlenswert, UAC auf die höchste Stufe zu stellen.
Uralt-Lücke
Die Schwachstellen sind bereits 19 Jahre alt und finden sich im Umgang mit ACE-Archiven. Wie dieser Fall nun zeigt, funktioniert eine Attacke aber offensichtlich auch mit RAR-Archiven. Setzen Angreifer an den Lücken an, können sie einen Directory-Traversal-Angriff ausführen und so Schadcode in diversen Ordnern platzieren. In der reparierten Beta-Version haben die WinRAR-Entwickler die ACE-Unterstützung gestrichen und so die Schwachstelle aus dem Weg geräumt.
Die Bugs finden sich in der Programmbibliothek unacev2.dll, die WinRAR zum parsen von ACE-Archiven nutzt. Die Bibliothek wurde im Jahr 2006 ohne Sicherheitsmechanismen wie Address Space Layout Randomization (ASLR) kompiliert. Wie die Sicherheitsforscher darauf kommen, dass WinRAR seit 19 Jahren über diese Fehler attackierbar ist, ist unklar. Wahrscheinlich gibt es die verwundbare Bibliothek einfach schon länger.
Trojaner im Autostart
Die Sicherheitsforscher konnten einen Directory-Traversal-Angriff ausführen. Sie haben einen Exploit entwickelt, der dafür sorgt, dass wenn ein Opfer ein präpariertes ACE-Archiv entpackt, die Daten im Autostart von Windows landen.
Vorsicht ist also immer bei Dateianhängen geboten von unbekannten Absendern, da es viele weitere Lücken in anderen Archiv Programmen gibt, die ggf. nicht auf der neusten Version installiert sind und damit Angreifbar. Die RAR Archive sind vor allem in Tauschbörsen das gängige Format, hier könnten Angreifer zahlreiche Opfer finden.
Die aktuelle WinRAR-5.70 Version zum Download: WinRAR archiver, a powerful tool to process RAR and ZIP files