[English]Warnung an Benutzer des Archivprogramms WinRAR. Verschiedene staatliche Bedrohungsakteure aus Russland und China versuchen sie eine Sicherheitslücke im WinRAR-Archivierungstool für Windows auszunutzen. Angreifer können beim Entpacken von Archiven über die Schwachstelle CVE-2023-38831 beliebigen Code ausführen. Betroffen von der Schwachstelle sind WinRAR-Versionen vor 6.23 – aktuell ist WinRAR 6.24 (siehe auch WinRAR 6.24 (Deutsch) wird von Virenscannern gemeldet (6.-8. Oktober 2023)).
Anzeige
Die Angriffe wurden von der Google Thread Analysis Group (TAG) aufgedeckt. The Hacker News weist in diesem Artikel sowie in nachfolgendem Post auf diese Sachverhalt hin.
Angriffe seit Anfang 2023
WinRAR ist ein häufig eingesetztes Dateiarchivierungstool für Windows, Von der Google Threat Analysis Group (TAG) heißt es, dass man in den letzten Wochen mehrere von der Regierungen unterstützte Hackergruppen beobachtet habe, die die bekannte Sicherheitslücke CVE-2023-38831 in WinRAR ausnutzen. Genannt wurden Hackergruppen wie FROZENBARENTS (auch bekannt als Sandworm), FROZENLAKE (auch bekannt als APT28) und ISLANDDREAMS (auch bekannt als APT40). Die Angriffe begannen bereits Anfang 2023, zu einem Zeitpunkt, als die WinRAR-Schwachstelle CVE-2023-38831 noch öffentlich unbekannt war.
Die Schwachstelle CVE-2023-38831
Die Schwachstelle CVE-2023-38831 wurde zum 23. August 2023 öffentlich und besitzt einen CVSS 3 von 7.8 (hoch bzw. kritisch). Ich hatte im Beitrag WinRAR Code Execution-Schwachstelle CVE-2023-40477 über die Schwachstelle berichtet.
Über die Schwachstelle können Angreifer beliebigem Code ausführen, wenn ein Benutzer versucht, eine harmlose Datei innerhalb eines ZIP-Archivs anzuzeigen. Das Problem tritt auf, weil ein ZIP-Archiv eine harmlose Datei (z. B. eine gewöhnliche JPG-Datei) und einen Ordner mit demselben Namen wie die harmlose Datei enthalten kann und der Inhalt des Ordners (der ausführbare Inhalte enthalten kann) beim Versuch, nur auf die harmlose Datei zuzugreifen, verarbeitet wird.
Anzeige
Entdeckt wurde die Schwachstelle am 10. Juli 2023 bei der Untersuchung der DarkMe-Malware durch die Analysten von Group IB. Die Analysten gehen davon aus, dass die Sicherheitslücke seit April 2023 ausgenutzt wurde. Packet Storm Security hat in diesem Post vom 8. September 2023 mehr Details dokumentiert. Diese Sicherheitslücke wurde laut NIST zwischen April und Oktober 2023 ausgenutzt. Betroffen sind alle älteren WinRAR-Versionen vor 6.23.
Das Team von RARLAB hat die Schwachstelle im August 2023 mit WinRAR-Version 6.23 geschlossen. Allerdings scheinen noch nicht alle Nutzer ihr WinRAR-Paket auf mindestens die Version 6.23 aktualisiert zu haben. Ergänzung: Eine Beschreibung der Schwachstelle findet sich hier.
Anmerkung: Nachfolgend wird in der Linkliste darauf hingewiesen, dass WinRAR 6.24 bei Virustotal als mit Malware befallen gemeldet wird. Ich gehe davon aus, dass das ein false positive ist. Die Plattform hat intern ein paar Probleme, werde bei Gelegenheit darüber berichten, wenn diese Themen mit den Betreibern von Virustotal geklärt sind.
Ähnliche Artikel:
WinRAR Code Execution-Schwachstelle CVE-2023-40477
WinRAR Schwachstelle CVE-2023-40477 betrifft auch Fremdsoftware
WinRAR 6.24 (Deutsch) wird von Virenscannern gemeldet (6.-8. Oktober 2023)
Anzeige
Aktuell ist 6.24, nicht 6.34.