UNACEV2.dll-Schwachstelle wird in WinRAR & Co. angegriffen

Vor einer Woche wurde eine Jahrzehnte alte Code-Execution-Schwachstelle in einer, u.a. von WinRAR genutzten Bibliotheksdatei, UNACEV2.DLL öffentlich. Nun sind erste Angriffsversuche auf diese Schwachstelle bekannt geworden.


Anzeige

Sicherheitsforscher von Check Point Software hatten die Schwachstelle "Absolute Path Traversal" (CVE-2018-20250) in UNACEV2.DLL entdeckt und am 19. Februar 2019 im Beitrag Extracting a 19 Year Old Code Execution from WinRAR öffentlich gemacht. Die Bibliothek UNACEV2.DLL wurde von dem Entpacker WinRAR zum Bearbeiten von ACE-Archiven verwendet. Über die Schwachstelle ließe sich Schadsoftware im Autostart-Ordner von Windows eintragen. Ich hatte im Blog-Beitrag Schwachstelle in UNACEV2.DLL gefährdet WinRAR & Co. Informationen zur Schwachstelle berichtet.

WinRAR wirft den Code raus

Da die Entwickler von WinRAR keinen Zugriff auf den Quellcode der Bibliothek UNACEV2.DLL haben, wurde der Support für das ACE-Format aus dem Programm entfernt und die DLL-Datei findet sich nicht mehr in neuen WinRAR-Versionen.

In der vor einigen Tagen freigegebenen Versionen WinRAR 5.70 wurde der ACE-Support offiziell entfernt, wie man hier nachlesen kann. Ich hatte im Blog-Beitrag Schwachstelle in UNACEV2.DLL gefährdet WinRAR & Co. empfohlen, die Bibliothek UNACEV2.DLL auf allen Windows-Laufwerken zu suchen und die Datei UNACEV2.DLL zu löschen. Denn die DLL wird von verschiedenen Programmen verwendet. Durch Löschen der DLL sollte der größte Angriffsvektor für die Schwachstelle entfallen.

Das hilft aber nicht, falls in einer Software der Code der UNACEV2.DLL separat eincompiliert ist. Es wird vermutet, dass dies bei dem einen oder anderen Antivirus-Produkt der Fall sein könnte.

Die Schwachstelle CVE-2018-20250 wird angegriffen

Nur einen Tag nachdem der Blog-Post des Check Points und ein Proof-of-Concept-Video (das zeigte, wie ein ACE-Archiv eine bösartige Datei in den Windows-Start-Ordner extrahieren kann) veröffentlicht wurden, wurde ein Proof-of-Concept (PoC)-Auswertungscode für die neu entdeckte WinRAR-Schwachstelle auf Github veröffentlicht.


Anzeige

The Hacker News berichtet hier zudem, dass Sicherheitsforscher des Unternehmens 360 Threat Intelligence Center (360TIC) bereits eine Malspam-E-Mail-Kampagne in the wild" entdeckt haben. Diese verbreitet eine bösartige RAR-Archivdatei, die die neueste WinRAR-Schwachstelle ausnutzt. Ziel der Malware-Kampagne ist es, Malware auf Computern zu installieren, auf denen die mit der Schwachstelle versehene Version der Software ausgeführt wird.

Ähnliche Artikel:
Schwachstelle in UNACEV2.DLL gefährdet WinRAR & Co.
Micropatch für die UNACEV2.DLL-Schwachstelle


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu UNACEV2.dll-Schwachstelle wird in WinRAR & Co. angegriffen

  1. chriscrosser sagt:

    …bei mir taucht die UNACEV2.DLL sogar in 3 ordnern auf:

    C:\Program Files (x86)\Avira\AntiVir Desktop\FAILSAFE\unacev2.dll
    C:\Program Files (x86)\Avira\AntiVir Desktop\unacev2.dll
    C:\Program Files\WinRAR\Formats\UNACEV2.DLL

    was kann ich tun?!
    einfach löschen geht wahrscheinlich nicht – oder?

    • ralf sagt:

      avira:
      den hersteller evtl. anschreiben und darauf hinweisen. sollten die inzwischen aber eigentlich selbst schon auf dem radar haben – wurde ja hinreichend drueber berichtet.

      winrar:
      wenn es – wie bei mir – eine alte version sein sollte, die man aber noch behalten will: die betreffenden dateien (UNACEV2.DLL sowie evtl. noch ACE.FMT) umbenennen (bei mir heissen sie jetzt: UNACEV2.DLL.RALF_UNSAFE und ACE.FMT.RALF_UNSAFE). so kann man sie ggfs. noch mal reaktivieren, falls man sie fuer legacy archive noch mal brauchen sollte.

    • 00-acht sagt:

      die Datei UNACEV2.dll ist via TotalCommander in der 9.22 (RC1) gefixt, Problem dort behoben. Daher diese Datei einzeln als .zip runterladen, entpack und im entsprechenden Ordner drüberkopieren.
      control: Version ist dann jeweils die 2.6.1.0 vom 26-02!

      https://www.deskmodder.de/blog/2019/02/28/total-commander-9-22-rc1-behebt-das-ace-sicherheitsporblem/

  2. chriscrosser sagt:

    …soooo
    das ersetzen der UNACEV2.DLL hat bei allen 3 ordnern geklappt!
    bei avira natürlich nur im abgesicherten modus ;-) – da sonst kein zugriff
    jetzt ist es überall die 2.6.1.0 vom 24!-02 (nicht 26-02)

    • Noya sagt:

      @chriscrosser: Könnten Sie mir genau beschreiben, wie Sie es für Avira gemacht haben? Ich kenne mich da nicht so gut aus. Den abgesicherten Modus erreiche ich beim Start des Systems über Strg+F8, so viel weiß ich, aber ich verstehe nicht ganz das Drüberkopieren des Fixes über entsprechende Datei/Ordner. Ist damit einfach gemeint, dass die Datei mit dem Schritt "Kopieren und ersetzen" überschrieben wird, wenn zwei gleiche Dateien im selben Ordner landen? Wie genau sind da die Schritte?
      Und hätte ein einfaches Löschen der Dateien in dem Fall negative Wirkungen auf Avira? Ich hab es jetzt nicht ausgeführt, aber als ich auf Löschen gegangen bin, wurde immerhin gefragt, ob die Datei wirklich in den Papierkorb verschoben werden sollte. Also wird es wohl gehen? Oder kommt dann eine Fehlermeldung?

      • chriscrosser sagt:

        …also
        die modifizierte UNACEV2.dll runterladen
        https://www.totalcommander.ch/win/unacev2_fixed.zip
        entpacken.. (am besten auf den desktop)
        danach windows im abgesicherten modus starten mit F8 (nix mit strg – zumindest bei win7!)
        https://www.google.com/search?client=firefox-b-d&q=abgesicherter+modus+win7#cns=0
        …ohne netzwerkunterstützung nehmen
        danach die beiden avira ordner auswählen und die datei dort rüberkopieren… fertig!
        sollte das wieder nicht gehen, sind keine admin rechte vorhanden
        die vorhandene datei wird mit der erneuerten überschrieben:
        wählt man bei der datei "eigenschaften" muss dann stehen:
        2.6.1.0 vom 24-02-2019

      • chriscrosser sagt:

        …so zweiter versuch (erster wurde gelöscht?)
        die "neue" UNACEV2.DLL runterladen (@00-acht – link)
        entpacken! – am besten auf dem desktop
        win7! im abgesicherten modus starten mit F8 ohne netzwerktreiber
        dann die UNACEV2.DLL über die vorhandenen in den 2 avira ordnern drüberkopieren… – pc neu starten
        danach mal auf die eigenschaften der datei gehen – müsste nun dort stehen: "2.6.1.0 vom 24-02-2019" – das wars dann…
        sollte es es nicht gehen, fehlen evtl. admin rechte

        • Günter Born sagt:

          Zu '…so zweiter versuch (erster wurde gelöscht?)' – da wurde nichts gelöscht.

          Einfach nicht so ungeduldig sein – hatte ich im Beitrag Kommentieren im Blog beschrieben. Enthält ein Kommentar Links, läuft der in die Kommentarmoderation und wird explizit von mir freigeschaltet. Ich gehe zyklisch durch den Moderationsordner, lösche den Kommentar-SPAM und gebe die restlichen Kommentare frei.

          Das habe ich so eingestellt, damit der Blog von Kommentar-SPAM frei bleibt.

          • chriscrosser sagt:

            alles easy günni!
            vielleicht war ich zu ungeduldig…
            schande auf mein haupt
            hatte einen link auf den ZIP der DLL datei und einen auf google, wie man in den abgesicherten modus bei win7 kommt…

        • Noya sagt:

          Ich habe bei der ersten Datei aus Unachtsamkeit "Verschieben und Ersetzen" angewählt, deswegen hat die eine Datei jetzt nicht mehr das alte Erstellungsdatum.
          Ich habe meinen Fehler gleich bemerkt und den Verschiebevorgang rückgängig gemacht, sodass zumindest die neue Datei wieder da war. Diese habe ich dann bei der zweiten alten Datei mit "Kopieren und Ersetzen" drüber kopiert.
          Es steht jetzt bei beiden: "2.6.1.0 vom 24-02-2019" da.
          Ich hoffe, dass das vorherige Missgeschick jetzt keine Auswirkungen hatte. Avira scheint aber zu funktionieren.
          Vielen Dank für Ihre Hilfe. Ein bisschen spät, aber ich wünsche Ihnen noch ein schönes Wochenende.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.