Jetzt patchen: Kostenlos-Version von WinRAR kann für Angriffe missbraucht werden

Inhaltsverzeichnis

Ältere Trial-Versionen des Entpackers WinRAR weisen eine Sicherheitslücke auf, die von Angreifern im gleichen Netzwerk unter bestimmten Voraussetzungen – und je nach Angriffsszenario erst im Anschluss an eine bestimmte Nutzerinteraktion mit dem Programm – missbraucht werden können, um beliebigen Schadcode auf einem Zielcomputer auszuführen. Die Sicherheitslücke wurde mit WinRAR 6.02 im Juni behoben, erhält nun aber Aufmerksamkeit, weil der Entdecker des Bugs darüber in der vergangenen Woche einen ausführlichen Blog-Eintrag verfasst hat.

Veraltete Trial-Version als potenzielle Gefahr

WinRAR ist ein hierzulande durchaus beliebtes Software-Tool, das zum Packen und Entpacken von Archiv-Dateien wie ZIP oder RAR verwendet wird. Viele Nutzer haben die kostenlose Trial-Version installiert, die sich zuerst in vollem Funktionsumfang nutzen lässt und dann in einen eingeschränkten Nagware-Modus verfällt, in dem sie den Anwender regelmäßig dazu auffordert, die Vollversion zu bezahlen. Genau bei dieser Funktion liegt auch das Sicherheitsproblem: Da viele Anwender WinRAR vermutlich fast nur zum Entpacken von aus dem Internet heruntergeladenen Archiven nutzen, ist es wahrscheinlich, dass eine signifikante Anzahl der Nutzer kontinuierlich veraltete Kostenlos-Version (weiter-)verwendet.

WinRAR-Versionen, die älter als die abgesicherte Version 6.02 sind, sollten möglichst zeitnah durch eine neuere Version ersetzt werden – vor allem dann, wenn es sich um eine (angreifbare) Trial-Version handelt. Vor allem Administratoren in Firmen sollten sich der Sicherheitslücke bewusst sein, da sie durch die technische Beschränkung, nur aus demselben Netzwerk missbraucht werden zu können, vor allem für Angreifer interessant sein könnte, die sich bereits Zugang zu einem größeren Netzwerk etwa in einem Unternehmen verschafft haben.

Ausnutzbarkeit mit Einschränkungen

Die Sicherheitslücke liegt darin begründet, dass der Hinweis-Bildschirm, mit dem WinRAR den Nutzer zum Bezahlen der Software auffordert, durch die MSHTML/Trident-Bibliothek erzeugt wird. Dabei handelt es sich um die alte HTML-Rendering-Engine von Microsofts Internet Explorer, die Entwickler auch in eigene Projekte integrieren können. Im konkreten Fall haben die WinRAR-Entwickler die Borland C++ - Implementierung von MSHTML verwendet. Die MSHTML-Bibliothek jedenfalls enthält eine Remote-Code-Execution-Lücke (CVE-2021-40444), die hier über den WinRAR-Bildschirm angreifbar ist.

Schafft es nun ein Angreifer im selben Netz, den ARP-Traffic des angegriffenen Systems zu manipulieren (ARP-Spoofing) und so die Anfragen des Opfers auf eine von ihm kontrollierte Webseite umzuleiten, führt das verwundbare WinRAR-Fenster beliebigen Schadcode des Angreifers aus. An dieser Stelle greift eine zweite mögliche Einschränkung der Ausnutzbarkeit der Lücke: Je nach Dateityp des Schadcodes wird dem angegriffenen Nutzer unter Umständen eine Sicherheitswarnung angezeigt, die eine Nutzerinteraktion (Bestätigung des Fortfahrens per Mausklick) erfordert. Zum einen entfällt diese Warnung aber bei bestimmten Dateiendungen, und zum anderen werden solche Hinweise im Arbeitsalltag nach Erfahrung des Lücken-Entdeckers auch gern mal überlesen und einfach "weitergeklickt".

Weitere Informationen

Weitere Details zur WinRAR-Lücke, der laut ihrem Entdecker die ID CVE-2021-35052 zugewiesen wurde, finden sich im Blog der Sicherheitsfirma Positive Technologies. Angesichts der Einschränkungen beim Ausnutzen der Lücke müssen sich die meisten Privatnutzer wohl nicht allzu viele Sorgen machen. Dennoch schadet es nicht, auch Trialware-Tools auf dem neuesten Stand zu halten – gerade dann, wenn diese Software routinemäßig Downloads aus unbekannten Quellen verarbeitet.

• Packprogramme bei heise Download

(fab)