![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Vor einer Woche wurde eine Jahrzehnte alte Code-Execution-Schwachstelle in einer, u.a. von WinRAR genutzten Bibliotheksdatei, UNACEV2.DLL \u00f6ffentlich. Nun sind erste Angriffsversuche auf diese Schwachstelle bekannt geworden.<\/p>\nVor einer Woche wurde eine Jahrzehnte alte Code-Execution-Schwachstelle in einer, u.a. von WinRAR genutzten Bibliotheksdatei, UNACEV2.DLL \u00f6ffentlich. Nun sind erste Angriffsversuche auf diese Schwachstelle bekannt geworden.<\/p>\n
<\/p>\n
Da die Entwickler von WinRAR keinen Zugriff auf den Quellcode der Bibliothek UNACEV2.DLL haben, wurde der Support f\u00fcr das ACE-Format aus dem Programm entfernt und die DLL-Datei findet sich nicht mehr in neuen WinRAR-Versionen. <\/p>\n In der vor einigen Tagen freigegebenen Versionen WinRAR 5.70 wurde der ACE-Support offiziell entfernt, wie man hier<\/a> nachlesen kann. Ich hatte im Blog-Beitrag Schwachstelle in UNACEV2.DLL gef\u00e4hrdet WinRAR & Co.<\/a> empfohlen, die Bibliothek UNACEV2.DLL auf allen Windows-Laufwerken zu suchen und die Datei UNACEV2.DLL zu l\u00f6schen. Denn die DLL wird von verschiedenen Programmen verwendet. Durch L\u00f6schen der DLL sollte der gr\u00f6\u00dfte Angriffsvektor f\u00fcr die Schwachstelle entfallen. <\/p>\n Das hilft aber nicht, falls in einer Software der Code der UNACEV2.DLL separat eincompiliert ist. Es wird vermutet, dass dies bei dem einen oder anderen Antivirus-Produkt der Fall sein k\u00f6nnte. <\/p>\n<\/blockquote>\n Nur einen Tag nachdem der Blog-Post des Check Points und ein Proof-of-Concept-Video (das zeigte, wie ein ACE-Archiv eine b\u00f6sartige Datei in den Windows-Start-Ordner extrahieren kann) ver\u00f6ffentlicht wurden, wurde ein Proof-of-Concept (PoC)-Auswertungscode f\u00fcr die neu entdeckte WinRAR-Schwachstelle auf Github ver\u00f6ffentlicht<\/a>.<\/p>\n The Hacker News berichtet hier<\/a> zudem, dass Sicherheitsforscher des Unternehmens 360 Threat Intelligence Center (360TIC) bereits eine Malspam-E-Mail-Kampagne in the wild\" entdeckt haben. Diese verbreitet eine b\u00f6sartige RAR-Archivdatei, die die neueste WinRAR-Schwachstelle ausnutzt. Ziel der Malware-Kampagne ist es, Malware auf Computern zu installieren, auf denen die mit der Schwachstelle versehene Version der Software ausgef\u00fchrt wird.<\/p>\n \u00c4hnliche Artikel:<\/strong> Vor einer Woche wurde eine Jahrzehnte alte Code-Execution-Schwachstelle in einer, u.a. von WinRAR genutzten Bibliotheksdatei, UNACEV2.DLL \u00f6ffentlich. Nun sind erste Angriffsversuche auf diese Schwachstelle bekannt geworden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-215203","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215203","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=215203"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215203\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=215203"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=215203"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=215203"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Sicherheitsforscher von Check Point Software hatten die Schwachstelle \"Absolute Path Traversal\" (CVE-2018-20250) in UNACEV2.DLL entdeckt und am 19. Februar 2019 im Beitrag Extracting a 19 Year Old Code Execution from WinRAR<\/a> \u00f6ffentlich gemacht. Die Bibliothek UNACEV2.DLL wurde von dem Entpacker WinRAR zum Bearbeiten von ACE-Archiven verwendet. \u00dcber die Schwachstelle lie\u00dfe sich Schadsoftware im Autostart-Ordner von Windows eintragen. Ich hatte im Blog-Beitrag Schwachstelle in UNACEV2.DLL gef\u00e4hrdet WinRAR & Co.<\/a> Informationen zur Schwachstelle berichtet. <\/p>\n
WinRAR wirft den Code raus<\/h2>\n
\n
Die Schwachstelle CVE-2018-20250 wird angegriffen<\/h2>\n
Schwachstelle in UNACEV2.DLL gef\u00e4hrdet WinRAR & Co.<\/a>
Micropatch f\u00fcr die UNACEV2.DLL-Schwachstelle<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"