[English]Eine Jahrzehnte alte Code-Execution-Schwachstelle in einer, u.a. von WinRAR genutzten Bibliotheksdatei UNACEV2.DLL gefährdet Millionen Nutzer, die Software einsetzen, die diese Komponente unter Windows verwendet. Es ist Handeln angesagt.
Anzeige
Ich hatte das Thema die Nacht bereits im Beitrag Nasty code-execution bug in WinRAR threatened millions of users for 14 years gesehen, aber noch keine Zeit, das aufzubereiten. Inzwischen hat Blog-Leser Bolko in diesen Kommentaren (danke dafür) noch einiges an Informationen nachgelegt.
Path Traversal-Schwachstelle in UNACEV2.DLL
Sicherheitsforscher von Check Point Software haben die Schwachstelle in UNACEV2.DLL entdeckt und am 19. Februar 2019 im Beitrag Extracting a 19 Year Old Code Execution from WinRAR öffentlich gemacht. Hintergrund war, dass die Sicherheitsforscher das Produkt WinRAR einer Sicherheitsüberprüfung unterziehen wollten. WinRAR wird ja zum Entpacken verschiedener Archivformate benutzt und ist recht populär.
(WinRAR, Quelle: CheckPoint)
Solche Entpackprogramme fallen ja immer wieder auf, wenn Schwachstellen in den Entpacker-Routinen zur Code-Ausführung missbraucht werden können. Im Laufe der Untersuchung der WinRAR-Komponenten gelang es den Sicherheitsforschern, eine Path Traversal-Schwachstelle in UNACEV2.DLL aufzudecken. Diese Bibliothek wird zum Entpacken von Archiven im ACE-Format verwendet.
Anzeige
Zunächst hatten die Sicherheitsforscher Schwierigkeiten herauszufinden, wie man die Schwachstelle zur Code-Ausführung missbrauchen kann. Die offensichtlichste Idee war es, eine ausführbare Datei in einem ACE-Archiv durch WinRAR in den Windows-Startordner extrahieren zu lassen. Dann führt Windows diese mit dem nächsten Neustart aus.
Die in UNACEV2.DLL gefundene Absolute Path Traversal-Schwachstelle ermöglicht es, den Zielordner vorzugeben, unabhängig davon, welchen Zielordner der Nutzer zum Entpacken gewählt hat. Die Bibiliotheksdatei UNACEV2.DLL stammt von einem Drittanbieter und wurde seit 2005 nicht mehr aktualisiert. Diese alte DLL nutzt auch keine Techniken zur Schwachstellenminderungen wie die Zufallsgenerierung des Adressraumlayouts (address space layout randomization, ASLR).
(Quelle: CheckPoint/YouTube)
WinRAR hat reagiert
Laut CheckPoint haben die Entwicker von WinRAR recht schnell reagiert und die Bibliotheksdatei UNACEV2.dll zur Unterstützung des ACE-Formats in WinRAR 5.70 Beta 1 entfernt. Auf der WinRAR-Webseite findet sich ein entsprechender Hinweis.
Nadav Grossman from Check Point Software Technologies informed us about a security vulnerability in UNACEV2.DLL library. Aforementioned vulnerability makes possible to create files in arbitrary folders inside or outside of destination folder when unpacking ACE archives.
WinRAR used this third party library to unpack ACE archives. UNACEV2.DLL had not been updated since 2005 and we do not have access to its source code. So we decided to drop ACE archive format support to protect security of WinRAR users.
Wenn WinRAR also in einer neuen Version unter Windows eingesetzt wird und die UNACEV2.DLL entfernt wurde, sollte die Schwachstelle behoben sein.
Verschiedene Software betroffen, man muss reagieren
Nun muss man wissen, dass die Bibliotheksdatei UNACEV2.DLL von zahlreichen Windows-Programmen (xnView 2.47, PE Builder 3.1.10a etc.) eingesetzt wird. Wenn deren Entwickler diese DLL nicht entfernt haben, ist die Schwachstelle vorhanden. Blog-Leser Bolko hat in diesem Kommentar auf diesen Sachverhalt hingewiesen. Zitat:
Heimtückisch: Falls die ACE-Archive in RAR oder ZIP umbenannt werden, dann werden die trotzdem ausgepackt, wenn die unacev2.dll im Programmordner des Entpackers oder irgendwo sonst im Pfad des Systems vorhanden ist und dann können die Schädlings-exe-Dateien im Autostart landen.
Es heißt also für Windows-Nutzer, im Explorer über die vorhandenen Datenspeicher eine Suche nach der Bibliotheksdatei UNACEV2.DLL durchführen. Wird die Datei gefunden, sollte sie gelöscht werden. Allerdings wird die betreffende Software danach nicht mehr funktionieren. Davon dürften auch Antivirus-Software betroffen sein. Man muss also klären, ob es aktualisierte Fassungen ohne die DLL gibt.
Ähnliche Artikel:
Warnung: Auf 7-Zip verzichten
Sicherheitslücke Zip Slip aufgedeckt
Sicherheitslücken in InfoZips UnZip-Programm
7-Zip Version 18.6 freigegeben
F-Secure Sicherheitsupdates für 7-Zip-Schwachstellen
Windows: Merkwürdige ZIP-Handhabung im Explorer
Windows 10 V1809: Update KB4464455 fixt ZIP-Bug
Anzeige
Avira Antivirus enthält auch diese unacev2.dll in unterschiedlichen Varianten:
https://www.shouldiblockit.com/unacev2.dll-1920.aspx
PE-Builder ist unschuldig und enthält die unacev2.dll selber nicht.
Bei mir lag die unacev2.dll aber trotzdem mehrfach in dessen Ordner, weil ich mal mit dem PE-Builder den Total Commander in dessen Plugin-Ordner ("put totalcmd files here") importiert hatte und letzterer eben diese unacev2.dll enthielt.
xnView , WhereIsIt und Total Commander enthalten aber nativ diese unacev2.dll.
Bei Total Commander ist die unac2v2.dll in der install.cab der 32-Bit Variante enthalten (tcmd920x32.exe), aber nicht in der reinen 64-Bit-Variante (tcmd920x64.exe).
In der sowohl für 32-Bit als auch für 64-Bit geeigneten Installer-Variante
(tcmd920x32_64.exe) ist die unacev2.dll auch in der install.cab enthalten.
In der portablen Version des Total Commander ist die unacev2.dll ebenfalls enthalten.
Wegen der doppelten Kompression erst in install.cab und dann nochmal in den EXE-Installer ist es recht schwierig eine Liste zu machen, wo überall diese unacev2.dll drin steckt.
Dort gibt es Listen, wo die unacev2.dll überall vorkommt :
http://www.spywarelib.com/file-1-de02c4d04088b69e64ecc30a3d9e22e5-unacev2.dll.html
Der Artikel mit der detaillierten Beschreibung des unacev2.dll Fehlers in Winrar:
https://research.checkpoint.com/extracting-code-execution-from-winrar/
Bei Winrar habe ich mir jetzt so geholfen, dass ich die unacev2.dll nach dem deaktivieren der ACE Unterstützung gelöscht habe. Winrar geht weiterhin.
Denke doch, dass das jetzt ausreichend ist.
"Es heißt also für Windows-Nutzer, im Explorer über die vorhandenen Datenspeicher eine Suche nach der Bibliotheksdatei UNACEV2.DLL durchführen. Wird die Datei gefunden, sollte sie gelöscht werden. Allerdings wird die betreffende Software danach nicht mehr funktionieren."
WinRAR und Total Commander funktionieren bei mir auch nach dem Löschen von unacev2.dll ohne Probleme.
lesen soll ja schon jeholfen haben…
;)
(zB. u.a. winfuture):
"Nutzer von WinRAR sollten im Optimalfall schnellstmöglich auf die aktuelle Beta-Version wechseln, um dem Sicherheitsrisiko aus dem Weg zu gehen. Dafür reicht es jedoch nicht die Webseite von WinRAR zu besuchen, da hier lediglich die Version 5.61 angeboten wird. Im RARLAB hingegen steht die empfohlene WinRAR 5.70 Beta 1 zum Download in diversen Sprachen sowie in 32-Bit und 64-Bit Versionen zur Verfügung."
https://www.rarlab.com/
eigentlich reicht es aber doch, die Datei unacev2.dll im Programmordner umzubenennen, z.B. -a oder _b an den Anfang, fertig?!