Vulnerability Lab hat Details zu einer Zero-Day-Lücke in WinRAR veröffentlicht. Der Fehler, der das Einschleusen und Ausführen von Schadcode erlaubt, steckt in der aktuellen Version 5.21. Entdeckt hat die Anfälligkeit der iranische Sicherheitsforscher Reza Espargham. Er vermutet, dass auch frühere Versionen des Packprogramms fehlerhaft sind, was bis zu 500 Millionen Nutzer weltweit betreffen würde, wie Computerworld berichtet.
Der Fehler steckt allerdings nur in der Routine zum Erstellen von SFX-Archiven, also sich selbst extrahierenden Archiven. Dieser Archivtyp kann aber grundsätzlich so konfiguriert werden, dass beim Entpacken eine in dem Archiv enthaltene Datei ausgeführt wird. Rarlab, der Herausgeber von WinRAR, stuft den Fehler deswegen nicht als sicherheitsrelevant ein.
„Die Lücke kann von einem entfernten Angreifer ohne Interaktion mit einem Nutzer ausgenutzt werden“, zitiert Computerworld Espargham, der sie auch in einem Video demonstriert. Malwarebytes-Mitarbeiter Pieter Arntz habe Esparghams Beispielcode „leicht verändert“ und einen Exploit entwickelt. „Der Angriff nutzt die Möglichkeit, beim Erstellen eines SFX-Archivs HTML-Code in ein anzuzeigendes Fenster einzufügen“, erklärte Arntz. Dieser Code wiederum werde auf dem Rechner der Person ausgeführt, die das SFX-Archiv öffne, so Arntz weiter.
Rarlab hält dem entgegen, dass ein Hacker jederzeit „jede ausführbare Datei nehmen, in ein SFX-Archiv einfügen und an Nutzer verteilen kann. Das alleine macht Diskussionen über Anfälligkeiten in SFX-Archiven nutzlos. Ausführbare Dateien sind von Hause aus gefährlich. Man sollte sie nur ausführen, wenn sie aus vertrauenswürdigen Quellen stammen. Selbstextrahierende SFX-Archive sind nicht mehr oder weniger gefährlich als andere .exe-Dateien.“
Mit einem Patch für die Sicherheitslücke ist offenbar nicht zu rechnen. Rarlab zufolge würde dadurch die HTML-Funktionalität des SFX-Moduls eingeschränkt, was den Nutzern schade, die die HTML-Funktion für legitime Zwecke einsetzten. Zudem könne ein Hacker auch nach Bereitstellung eines Patches jederzeit eine alte Version des SFX-Moduls verwenden, um ein SFX-Archiv mit gefährlichem HTML-Code zu erstellen.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…