WinRAR-Lücke weitreichender als gedacht

Die Auswirkungen einer kritischen Sicherheitslücke in der populären Archivsoftware WinRAR reichen weiter als zunächst gedacht. Auch andere Programme als WinRAR sind davon mutmaßlich betroffen. IT-Sicherheitsforscher haben zudem eine weitere Sicherheitslücke in der Software aufgespürt, die bereits seit April dieses Jahres von Cyberkriminellen missbraucht wurde.

Am vergangenen Wochenende wurde bekannt, dass eine kritische Sicherheitslücke in WinRAR von Angreifern zum Einschmuggeln beliebigen Programmcodes missbraucht werden konnte (CVE-2023-40477, CVSS 7.8, Risiko "hoch"). Das Problem basierte auf einer mangelhaften Prüfung von Daten in sogenannten Recovery Volumes für RAR-Archive, durch die außerhalb der vorgesehenen Speicherbereiche Schreibzugriffe möglich waren. Bereits das Öffnen sorgsam präparierter Archive reicht aus, um so Schadcode auf verwundbare Rechner zu schleusen.

WinRAR: Lücke wahrscheinlich auch in anderen Programmen

Das Update auf WinRAR 6.23, das die Sicherheitslücke schließt, wurde ab dem 2. August verteilt. Allerdings blieb bislang weitgehend unbeachtet, dass die Bibliotheken unrar.dll und unrar64.dll von Rarlabs vermutlich ebenfalls verwundbar waren und anderer Software beiliegen. Ein Update für den populären Datei-Manager Total Commander etwa korrigiert den Fehler explizit: "Kritische Sicherheitslücke in unrar.dll (von RARLAB) behoben, auch als separater Download verfügbar" schreiben die Entwickler dort im Changelog. Im Forum konkretisiert der Programmierer Ghisler jedoch, dass niemand genau wisse, ob unrar.dll anfällig sei.

Andreas Marx von AV-Test hat heise Security kontaktiert und schrieb uns, dass er "über 400 Programme, die 'unrar.dll' bzw. 'unrar64.dll' verwenden (mit einer letzten Aktualisierung vor dem 01. August 2023) in unserer Clean File Datenbank gefunden" hat. Antivirensoftware setzt häufig ebenfalls öffentlich verfügbare Bibliotheken ein und könnte anfällig sein – immerhin dürften die Hersteller gegebenenfalls die automatischen Update-Mechanismen zum Verteilen fehlerbereinigter Fassungen nutzen. Das Windows-interne ZIP-Tool soll in Kürze ebenfalls Unterstützung für RAR-Archive mit der Code-Basis von libarchive erhalten. Allerdings basiert der öffentlich verfügbare Rarlab-unrar-Code auf C++, während libarchive eine vermutlich eigene C-Implementierung verwendet. Bis zur Veröffentlichung hätte Microsoft im Zweifel noch Zeit, die potenzielle Schwachstelle anzugehen.

Zero-Day-Lücke in WinRAR

Die IT-Sicherheitsforscher von GroupIB schreiben in einem Blog-Eintrag derweil über eine Malware "DarkMe", die sie am 10. Juli dieses Jahres untersucht haben. Diese habe eine Sicherheitslücke in der Verarbeitung von ZIP-Formaten in WinRAR missbraucht, um Schadcode auf Rechnern von Opfern zu schleusen und auszuführen. Die Lücke ermöglicht das Verschleiern von Dateiendungen, sodass in den präparierten Archiven vermeintliche Bilder als .jpg oder Dokumente als .txt aufgelistet wurden (CVE-2023-38831, noch keine CVSS-Einstufung). Dahinter befand sich jedoch Malware, die von Opfern unwissentlich per Doppelklick gestartet wurde.

Manipulierte ZIP-Dateien seien von Cyberkriminellen in Handelsforen verteilt worden, die die Schädlinge DarkMe, GuLoader oder Remcos RAT enthielten und das Abziehen von Geld der Broker erlaubten, die den Schadcode ausgeführt haben. Es seien derzeit noch 130 Geräte von Händlern infiziert. Die Angriffe fanden seit dem April 2023 statt. WinRAR 6.23 schließt auch diese Schwachstelle.

Sofern das noch nicht geschehen ist, sollten WinRAR-Nutzer auf die aktuelle Fassung der Software aktualisieren. Zudem dürften weitere Programme in Kürze Aktualisierungen anbieten, die verwundbare unrar-Bibliotheken mitbringen und verwenden.

(dmk)