Jetzt patchen! Angreifer schieben Backdoor durch WinRAR-Lücken
Sicherheitsforscher sind auf einen Exploit gestoßen, der WinRAR im Visier hat. Angriffe auf Windows-PCs sind aber nicht ohne Weiteres erfolgreich.
(Bild: geralt)
Wer das Packprogramm WinRAR nutzt, sollte die aktuelle Version WinRAR 5.70 installieren (derzeit nur englische Version verfügbar). Darin haben die Entwickler Sicherheitslücken geschlossen, über die Angreifer Schadcode auf Computer schieben und ausführen können – und genau das passiert derzeit.
Aktuelle Malware-Kampagne
Sicherheitsforscher von 360 Threat Intelligence Center berichten auf Twitter von einer Malware-Kampagne gegen Windows-Computer mit verwundbaren WinRAR-Versionen. Sie sind auf eine E-Mail mit einem präparierten RAR-Archive gestoßen – dabei handelt es sich aber um ein lediglich umbenanntes ACE-Archiv. Das Ausmaß der Kampagne ist derzeit unbekannt.
Entpackt ein Opfer dieses Archiv, soll eine Backdoor unter ProgramData im Autostart von Windows landen und nach dem nächsten Reboot aktiv sein. Ab diesem Zeitpunkt könnten Angreifer befallene Computer fernsteuern.
Das Platzieren im Autostart klappt aber nur ohne Sicherheitsnachfrage, wenn die Benutzerkontensteuerung (UAC) von Windows deaktiviert ist. Beispielsweise unter Windows 10 ist der Schutz standardmäßig aktiv und der Entpackvorgang des präparierten Archivs löst eine UAC-Nachfrage aus, ob man wirklich in diesen Ordner schreiben will. Klickt man auf "Nein", gelangt der Schädling nicht in den Autostart. Aus Sicherheitsgründen ist es generell empfehlenswert, UAC auf die höchste Stufe zu stellen.
Uralt-Lücke
Die Schwachstellen sind bereits 19 Jahre alt und finden sich im Umgang mit ACE-Archiven. Wie dieser Fall nun zeigt, funktioniert eine Attacke aber offensichtlich auch mit RAR-Archiven. Setzen Angreifer an den Lücken an, können sie einen Directory-Traversal-Angriff ausführen und so Schadcode in diversen Ordnern platzieren. In der reparierten Beta-Version haben die WinRAR-Entwickler die ACE-Unterstützung gestrichen und so die Schwachstelle aus dem Weg geräumt.
[UPDATE, 26.02.2019 11:30 Uhr]
Mittlerweile ist die abgesicherte Stable-Version 5.70 von WinRAR erschienen – diese Ausgabe gibt es aber bislang nur in englischer Sprache. Rolle der präparierten RAR-Datei im Fließtext ergänzt.
Siehe dazu auch:
- WinRAR 5.70 (Stable) - Download schnell & sicher von heise.de
(des)
