Gefährliche Archive mit WinRAR erzeugen

Das Komprimierungsprogramm WinRAR weist eine Schwachstelle auf, über die Angreifer SFX-Archive erzeugen können, die Schadcode aus dem Netz nachladen. Klickt ein Opfer auf das präparierte SFX-Archiv, wird Code nachgeladen und ausgeführt, beschreibt der Sicherheitsforscher Mohammad Reza Espargham. Besonders heikel dabei ist, dass das Opfer WinRAR gar nicht installiert haben muss, denn SFX-Archive lassen sich ohne die Anwendung entpacken.

Die Schwachstelle findet sich im Text-to-display-in-SFX-Windows-Modul. An dieser Stelle können Angreifer HTML-Code einfügen, der etwa auf eine bösartige ausführbare Datei auf einem Server verweist. In einem Video zeigt der Sicherheitsforscher, wie das funktioniert.

Für einen erfolgreichen Übergriff muss das Opfer das Archiv lediglich mit einem Doppelklick öffnen. Espargham zufolge funktioniert das auch mit eingeschränkten Nutzerrechten und -Konten. Im schlimmsten Fall könnten Angreifer auf diesem Weg die Kontrolle über einen Computer übernehmen.

Ob es aktuell Übergriffe dieser Art gibt ist nicht bekannt. Der Sicherheitsforscher hat die Schwachstellte heute offengelegt. Ob das WinRAR-Team schon an einem Update arbeitet ist nicht bekannt. Eine entsprechende Anfrage an die Entwickler ist raus.

[UPDATE, 28.09.2015 17:15 Uhr]

Es handelt sich dabei nicht um eine Sicherheitslücke, sondern um ein dokumentiertes Merkmal des SFX-Moduls. Die Entwickler von WinRAR sehen demnach keinen Grund, das Nachladen von Exe-Dateien aus dem Web zu verhindern. Wie bei anderen Exe-Dateien auch, müssen Nutzer bei der Ausführung aufpassen, ob die Datei aus einer vertrauenswürdigen Quelle stammt, erklären die Entwickler.

Überschrift, Anrisstext und Fließtext entsprechend angepasst. Alert entfernt. (des)