Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Update bereits ausgespielt: Kritische Lücke in WinRAR erlaubte Code-Ausführung

Update bereits ausgespielt: Kritische Lücke in WinRAR erlaubte Code-Ausführung​

Alert! 19.08.2023 14:14 Uhr Tilman Wittenhorst
Du musst angemeldet sein, um Bilder zu sehen.

(Bild: rvlsoft/Shutterstock.com)

Das verbreitete Kompressionstool WinRAR besaß in älteren Versionen eine schwere Lücke, die beliebige Codeausführung erlaubte. Die aktuelle Version schließt sie.

Das bekannte Kompressions- und Archivierungs-Werkzeug WinRAR war von einer kritischen Sicherheitslücke betroffen, mit der Angreifer beliebigen Code ausführen konnten, sobald ein entsprechend präpariertes Archiv geöffnet wurde. Die Lücke wird unter der Bezeichnung CVE-2023-40477 geführt und erhält einen CVSS-Score von 7,8 sowie den Schweregrad "hoch".

Version 6.23 behebt Schwachstelle​

Gestopft wurde die Lücke in der derzeit aktuellen Version 6.23 von WinRAR, die bereits am 2. August erschienen ist. Der Hersteller RARLAB machte damals in den Release Notes keinen Hinweis auf die Schwere des Problems, sprach lediglich von einem behobenen Sicherheitsproblem. Entdeckt hat die Lücke ein Securityspezialist mit dem Pseudonym "goodbyeselene" von der Zero Day Initiative [1] – und machte sie an diesem Donnerstag öffentlich. Offenbar wollten die Initiative und der Softwarehersteller zunächst eine möglichst weite Verbreitung des Updates abwarten.

Die Lücke besteht in mangelnder Prüfung von Nutzerdaten in Recovery Volumes, was dazu genutzt werden kann, außerhalb eines allozierten Speicherbereichs schreiben zu können. Dies kann Angreifern beliebiges Ausführen von Code auf dem Zielsystem erlauben. Ein betroffener Nutzer muss lediglich dazu gebracht werden, ein präpariertes Archiv zu öffnen.

Wer WinRAR noch nicht in Version 6.23 nutzt, sollte sofort das Update einspielen – mit dem Ausnutzen der Lücke ist spätestens ab der Veröffentlichung von Informationen darüber zu rechnen.
(tiw [2])


URL dieses Artikels:
 

WinRAR-Lücke weitreichender als gedacht UPDATE

Alert! Stand: 24.08.2023 11:57 Uhr Dirk Knop
Du musst angemeldet sein, um Bilder zu sehen.

(Bild: Skorzewiak/Shutterstock.com)
Am Wochenende wurde eine Sicherheitslücke in WinRAR bekannt. Die wirkt sich auf andere Software aus. Zudem gibt es weitere, bereits missbrauchte Lecks darin.

Die Auswirkungen einer kritischen Sicherheitslücke in der populären Archivsoftware WinRAR reichen weiter als zunächst gedacht. Auch andere Programme als WinRAR sind davon mutmaßlich betroffen. IT-Sicherheitsforscher haben zudem eine weitere Sicherheitslücke in der Software aufgespürt, die bereits seit April dieses Jahres von Cyberkriminellen missbraucht wurde.
Am vergangenen Wochenende wurde bekannt, dass eine kritische Sicherheitslücke in WinRAR von Angreifern zum Einschmuggeln beliebigen Programmcodes [1] missbraucht werden konnte (CVE-2023-40477, CVSS 7.8, Risiko "hoch"). Das Problem basierte auf einer mangelhaften Prüfung von Daten in sogenannten Recovery Volumes für RAR-Archive, durch die außerhalb der vorgesehenen Speicherbereiche Schreibzugriffe möglich waren. Bereits das Öffnen sorgsam präparierter Archive reicht aus, um so Schadcode auf verwundbare Rechner zu schleusen.

WinRAR: Lücke wahrscheinlich auch in anderen Programmen​

Das Update auf WinRAR 6.23, das die Sicherheitslücke schließt, wurde ab dem 2. August verteilt. Allerdings blieb bislang weitgehend unbeachtet, dass die Bibliotheken unrar.dll und unrar64.dll von Rarlabs vermutlich ebenfalls verwundbar waren und anderer Software beiliegen. Ein Update für den populären Datei-Manager Total Commander [2] etwa korrigiert den Fehler explizit: "Kritische Sicherheitslücke in unrar.dll (von RARLAB) behoben, auch als separater Download verfügbar" schreiben die Entwickler dort im Changelog. Im Forum konkretisiert der Programmierer Ghisler [3] jedoch, dass niemand genau wisse, ob unrar.dll anfällig sei.

Andreas Marx von AV-Test hat heise Security kontaktiert und schrieb uns, dass er "über 400 Programme, die 'unrar.dll' bzw. 'unrar64.dll' verwenden (mit einer letzten Aktualisierung vor dem 01. August 2023) in unserer Clean File Datenbank gefunden" hat. Antivirensoftware setzt häufig ebenfalls öffentlich verfügbare Bibliotheken ein und könnte anfällig sein – immerhin dürften die Hersteller gegebenenfalls die automatischen Update-Mechanismen zum Verteilen fehlerbereinigter Fassungen nutzen. Das Windows-interne ZIP-Tool soll in Kürze ebenfalls Unterstützung für RAR-Archive mit der Code-Basis von libarchive erhalten [4]. Allerdings basiert der öffentlich verfügbare Rarlab-unrar-Code auf C++, während libarchive eine vermutlich eigene C-Implementierung verwendet. Bis zur Veröffentlichung hätte Microsoft im Zweifel noch Zeit, die potenzielle Schwachstelle anzugehen.

Zero-Day-Lücke in WinRAR​

Die IT-Sicherheitsforscher von GroupIB schreiben in einem Blog-Eintrag [5] derweil über eine Malware "DarkMe", die sie am 10. Juli dieses Jahres untersucht haben. Diese habe eine Sicherheitslücke in der Verarbeitung von ZIP-Formaten in WinRAR missbraucht, um Schadcode auf Rechnern von Opfern zu schleusen und auszuführen. Die Lücke ermöglicht das Verschleiern von Dateiendungen, sodass in den präparierten Archiven vermeintliche Bilder als .jpg oder Dokumente als .txt aufgelistet wurden (CVE-2023-38831, noch keine CVSS-Einstufung). Dahinter befand sich jedoch Malware, die von Opfern unwissentlich per Doppelklick gestartet wurde.

Manipulierte ZIP-Dateien seien von Cyberkriminellen in Handelsforen verteilt worden, die die Schädlinge DarkMe, GuLoader oder Remcos RAT enthielten und das Abziehen von Geld der Broker erlaubten, die den Schadcode ausgeführt haben. Es seien derzeit noch 130 Geräte von Händlern infiziert. Die Angriffe fanden seit dem April 2023 statt. WinRAR 6.23 schließt auch diese Schwachstelle.

Sofern das noch nicht geschehen ist, sollten WinRAR-Nutzer auf die aktuelle Fassung der Software [6] aktualisieren. Zudem dürften weitere Programme in Kürze Aktualisierungen anbieten, die verwundbare unrar-Bibliotheken mitbringen und verwenden.
UPDATE24.08.2023 15:34 Uhr
Im Text ergänzt, dass es bislang eine Vermutung ist, dass unrar.dll ebenfalls betroffen ist.
(dmk [7])


URL dieses Artikels:
 
Zurück
Oben