Hardware & Software Update-Alarm für WinRAR: Google warnt vor schwerer Sicherheitslücke

Wer das Packprogramm WinRAR installiert hat, sollte die Software laut der Threat Analysis Group von Google dringend auf den neuesten Stand bringen. Weil WinRAR Updates nicht automatisch installiert, sollen noch immer viele Nutzer durch eine schwere Lücke gefährdet sein.

Lücke wurde eigentlich bereits geschlossen​

Wie die Sicherheitsexperten von Google in einem

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

erklären, müssen viele WinRAR-User dringend die neueste Version der Software für den Umgang mit Dateiarchiven installieren, um sich vor der Ausnutzung einer schwerwiegenden Sicherheitslücke durch derzeit laufende Angriffskampagnen zu schützen.

Nach Angaben der Google Threat Analysis Group (TAG) erfolgen bereits seit Anfang 2023 Angriffe unter Ausnutzung der WinRAR-Lücke, hinter denen Hacker stecken, die von den Regierungen verschiedener Länder unterstützt werden. Die Lücke besteht somit schon länger, wurde aber von den Entwicklern von WinRAR auch schon vor Monaten mit neueren Versionen geschlossen.

Konkret fordert die Google TAG alle WinRAR-Nutzer auf, mindestens Version 6.23 oder 6.24 der Software zu installieren, da die Lücke bei diesen Ausgaben bereits beseitigt wurde. Eine Vielzahl von Anwendern dürfte diese neueren Versionen aber nicht installiert haben, weil WinRAR keine automatische Update-Funktion mitbringt. Der Anwender muss also selbst aktiv werden, um die Software auf dem neuesten Stand zu halten.

Angreifer könnten beliebigen Code ausführen​

Google zufolge können Angreifer unter Windows beliebigen Code ausführen, wenn zum Beispiel eine in einem ZIP-Archiv enthaltene PNG-Datei geöffnet wird. Weil Windows einige Besonderheiten in der Bibliothek ShellExecute hat, kann die Lücke bei speziell präparierten Archiven ein Entpacken externer Dateien auslösen, heißt es.

Der Fall mache deutlich, dass eine Ausnutzung von Schwachstellen in populärer Software auch dann in großem Ausmaß möglich sei, wenn deren Entwickler die Lücke eigentlich schon geschlossen haben, so Google. Seit mindestens April hätten Angreifer mit der Methode versucht, die Daten von Besitzern von Kryptowährungen zu erlangen, um diese dann zu entwenden.

Zumindest unter Windows 11 kann man seit einigen Monaten übrigens auf WinRAR verzichten, weil das Betriebssystem mittlerweile nativ mit RAR-Dateien umgehen kann. Für alle anderen User empfiehlt sich der Download der neuesten WinRAR-Version, zum Beispiel über unser Download-Center.

Zusammenfassung

• Google warnt vor Sicherheitslücke in WinRAR
• WinRAR-User sollten dringend neueste Version installieren
• Angriffe auf die Lücke seit Anfang 2023
• WinRAR-Versionen 6.23 oder 6.24 beheben das Problem
• WinRAR bietet keine automatische Update-Funktion
• Angreifer können Code ausführen, wenn PNG-Datei geöffnet wird
• Windows 11 kann nativ mit RAR-Dateien umgehen

Quelle; winfuture

 

[josef.13]

WinRAR-Lücke wird von staatlichen Angreifern missbraucht

Googles TAG-Team beobachtet staatliche Cyberkriminelle, die die kürzlich bekannt gewordene WinRAR-Sicherheitslücke missbrauchen.

Googles Threat Analysis Group (TAG) hat in den vergangenen Wochen mehrere regierungsgestützte Cybergangs beobachtet, die eine bekannte Sicherheitslücke in WinrRAR angreifen. Die Lücke ermöglicht das Verschleiern von Dateiendungen und wurde ebenfalls mit WinRAR 6.23 geschlossen (CVE-2023-38831).

Die Lücke werde seit Anfang 2023 von Cyberkriminellen ausgenutzt, schreiben Googles IT-Forscher in ihrer Analyse. Zu dem Zeitpunkt war die Schwachstelle noch unbekannt. Zwar sei ein Update verfügbar, es scheinen jedoch noch viele Nutzerinnen und Nutzer verwundbar zu sein.

WinRAR-Lücke: Cyberkriminelle greifen nach PoC-Veröffentlichung an

Stunden nach der Veröffentlichung eines Blog-Beitrags von Group-IB kam es zur Veröffentlichung von Proof-of-Concept-Code (PoC) in öffentlichen Github-Repositories. Kurz danach haben Googles IT-Forscher beobachtet, wie finanziell motivierte Täter und auch Cybergangs (Advanced Persistent Threats, APTs) anfingen, mit der Schwachstelle zu experimentieren.

Daraufhin starteten einige Kampagnen. Googles TAG berichtet von der Gruppe Sandworm (Frozenbarents), die den russischen Streitkräften und dem russischen Geheimdienst zugeordnet werden, die den Energiesektor angegriffen hat und mit Hack- und Leak-Operationen fortfahre. Sie startete etwa am 6. September eine E-Mail-Kampagne, in der sie sich als ukrainische Drohnen-Kriegsführungsschule ausgaben. Opfer lockten die Mails mit einer Einladung, der Schule beizutreten. Hinter einem Link in der Mail verbarg sich ein PDF zur Tarnung und eine ZIP-Datei, die die Sicherheitslücke in WinRAR ausnutzte; der Name lautete übersetzt "Trainingsprogramm für Operators". Die Malware Rhadamanthys im Archiv kann als Infostealer unter anderem etwa Zugangsdaten aus dem Browser und Session-Informationen ausschleusen.

Am 4. September hat Googles TAG eine mit dem russischen Geheimdienst GRU verbandelte Cybergang APT28, oder auch Frozenlake, bei der Auslieferung von Schadsoftware im Energiesektor beobachtet. Die Gruppe setzte auf einen kostenlosen Hosting-Provider, um die Malware an Nutzerinnen und Nutzer in der Ukraine zu verteilen. Die Spearphishing-Kampagne setzte auf Browser-Checks, um sicherzustellen, dass die Besucher aus der Ukraine stammen, und versuchte, die Datei mit dem WinRAR-Exploit herunterzuladen. Getarnt war die Seite als Einladung zum ukrainischen Think-Tank Razumkov Centre.

Am 11. September wurde eine Datei auf Virustotal hochgeladen, die sich ebenfalls auf APT28/Frozenlake zurückführen ließ. Beim Ausnutzen der Schwachstelle erstellt sie eine .bat-Datei, die ein PDF zur Tarnung öffnet und zugleich eine Reverse-SSH-Shell zu einer von den Angreifern kontrollierten IP-Adresse öffnet. Zudem hat sie ein Skript namens Ironjaw in Powershell ausgeführt, das ebenfalls Daten stiehlt und exfiltriert. Auch von China gesteuerte Cybergangs hat Googles TAG entdeckt, die die WinRAR-Schwachstelle missbraucht haben. APT40 (Islanddreams) hat eine Phishing-Kampagne gegen Papua Neu Guinea gestartet. Ein Link in den Mails führte auf Dropbox, wo ein ZIP-Archiv mit Exploit lag. Auch hier sollte eine PDF-Datei von bösartigen Inhalten ablenken.

Installieren von Updates ist wichtig

Die zahlreichen Angriffe insbesondere nach Veröffentlichung der PoCs zeigen, dass das Installieren der bereitstehenden Updates unabdinglich sei. Auch die fortschrittlichsten Angreifer machten nicht mehr als nötig zum Erreichen ihrer Ziele, und das Nichtanwenden der Aktualisierungen vereinfache es ihnen unnötig. In der Analyse lsiten Googles IT-Forscher zudem noch Indizien für einen Befall (Indicators of Compromise, IOCs) auf.

Mitte August wurde bekannt, dass ältere WinRAR-Versionen eine Sicherheitslücke enthalten, die die Ausführung eingeschmuggelten Codes erlaubte. Schon zu dem Zeitpunkt wurde die Schwachstelle etwa zur Auslieferung der Malware "DarkMe" missbraucht. In Handelsforen hatten Cyberkriminelle zudem die zweite Lücke zum Verschleiern der Dateiendungen mit manipulierten ZIP-Dateien missbraucht, die sie dort verteilten. Sie brachten die Schädlinge DarkMe, GuLoader oder Remcos RAT mit und konnten das Geld der Broker etwa aus Krypto-Wallets abziehen.

Quelle; heise