{"id":287179,"date":"2023-10-20T16:50:57","date_gmt":"2023-10-20T14:50:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=287179"},"modified":"2023-12-08T07:10:28","modified_gmt":"2023-12-08T06:10:28","slug":"warnung-winrar-schwachstelle-cve-2023-38831-wird-von-chinesischen-und-russischen-hackern-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/20\/warnung-winrar-schwachstelle-cve-2023-38831-wird-von-chinesischen-und-russischen-hackern-ausgenutzt\/","title":{"rendered":"Warnung: WinRAR-Schwachstelle CVE-2023-38831 wird von chinesischen und russischen Hackern ausgenutzt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Warnung an Benutzer des Archivprogramms WinRAR. Verschiedene staatliche Bedrohungsakteure aus Russland und China versuchen sie eine Sicherheitsl\u00fccke im WinRAR-Archivierungstool f\u00fcr Windows auszunutzen. Angreifer k\u00f6nnen beim Entpacken von Archiven \u00fcber die Schwachstelle CVE-2023-38831 beliebigen Code ausf\u00fchren. Betroffen von der Schwachstelle sind WinRAR-Versionen vor 6.23 – aktuell ist WinRAR 6.24 (siehe auch WinRAR 6.24 (Deutsch) wird von Virenscannern gemeldet (6.-8. Oktober 2023)<\/a>).<\/p>\n

\"\"Die Angriffe wurden von der Google Thread Analysis Group (TAG) aufgedeckt.<\/a> The Hacker News weist in diesem Artikel<\/a> sowie in nachfolgendem Post auf diese Sachverhalt hin.<\/p>\n

<\/a><\/p>\n

Angriffe seit Anfang 2023<\/h2>\n

WinRAR ist ein h\u00e4ufig eingesetztes Dateiarchivierungstool f\u00fcr Windows, Von der Google Threat Analysis Group (TAG) hei\u00dft es, dass man in den letzten Wochen mehrere von der Regierungen unterst\u00fctzte Hackergruppen beobachtet habe, die die bekannte Sicherheitsl\u00fccke CVE-2023-38831 in WinRAR ausnutzen. Genannt wurden Hackergruppen wie FROZENBARENTS (auch bekannt als Sandworm), FROZENLAKE (auch bekannt als APT28) und ISLANDDREAMS (auch bekannt als APT40). Die Angriffe begannen bereits Anfang 2023, zu einem Zeitpunkt, als die WinRAR-Schwachstelle\u00a0 CVE-2023-38831 noch \u00f6ffentlich unbekannt war.<\/p>\n

Die Schwachstelle CVE-2023-38831<\/h2>\n

Die Schwachstelle CVE-2023-38831<\/a> wurde zum 23. August 2023 \u00f6ffentlich und besitzt einen CVSS 3 von 7.8 (hoch bzw. kritisch). Ich hatte im Beitrag WinRAR Code Execution-Schwachstelle CVE-2023-40477<\/a> \u00fcber die Schwachstelle berichtet.<\/p>\n

\u00dcber die Schwachstelle k\u00f6nnen Angreifer beliebigem Code ausf\u00fchren, wenn ein Benutzer versucht, eine harmlose Datei innerhalb eines ZIP-Archivs anzuzeigen. Das Problem tritt auf, weil ein ZIP-Archiv eine harmlose Datei (z. B. eine gew\u00f6hnliche JPG-Datei) und einen Ordner mit demselben Namen wie die harmlose Datei enthalten kann und der Inhalt des Ordners (der ausf\u00fchrbare Inhalte enthalten kann) beim Versuch, nur auf die harmlose Datei zuzugreifen, verarbeitet wird.<\/p>\n

Entdeckt wurde die Schwachstelle am 10. Juli 2023 bei der Untersuchung der DarkMe-Malware durch die Analysten von Group IB. Die Analysten gehen davon aus, dass die Sicherheitsl\u00fccke seit April 2023 ausgenutzt wurde. Packet Storm Security hat in diesem Post<\/a> vom 8. September 2023 mehr Details dokumentiert. Diese Sicherheitsl\u00fccke wurde laut NIST zwischen April und Oktober 2023 ausgenutzt. Betroffen sind alle \u00e4lteren WinRAR-Versionen vor 6.23.<\/p>\n

Das\u00a0 Team von RARLAB hat die Schwachstelle im August 2023 mit WinRAR-Version 6.23 geschlossen. Allerdings scheinen noch nicht alle Nutzer ihr WinRAR-Paket auf mindestens die Version 6.23 aktualisiert zu haben. Erg\u00e4nzung: Eine Beschreibung der Schwachstelle findet sich hier<\/a>.<\/p>\n

Anmerkung: Nachfolgend wird in der Linkliste darauf hingewiesen, dass WinRAR 6.24 bei Virustotal als mit Malware befallen gemeldet wird. Ich gehe davon aus, dass das ein false positive ist. Die Plattform hat intern ein paar Probleme, werde bei Gelegenheit dar\u00fcber berichten, wenn diese Themen mit den Betreibern von Virustotal gekl\u00e4rt sind.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nWinRAR Code Execution-Schwachstelle CVE-2023-40477<\/a>
\nWinRAR Schwachstelle CVE-2023-40477 betrifft auch Fremdsoftware<\/a>
\nWinRAR 6.24 (Deutsch) wird von Virenscannern gemeldet (6.-8. Oktober 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Warnung an Benutzer des Archivprogramms WinRAR. Verschiedene staatliche Bedrohungsakteure aus Russland und China versuchen sie eine Sicherheitsl\u00fccke im WinRAR-Archivierungstool f\u00fcr Windows auszunutzen. Angreifer k\u00f6nnen beim Entpacken von Archiven \u00fcber die Schwachstelle CVE-2023-38831 beliebigen Code ausf\u00fchren. Betroffen von der Schwachstelle sind … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-287179","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287179","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287179"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287179\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287179"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287179"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287179"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}