Archiv öffnen reicht: WinRAR-Schwachstelle lässt Angreifer Schadcode ausführen

Update 2 Marc Stöckel
179 Kommentare
Archiv öffnen reicht: WinRAR-Schwachstelle lässt Angreifer Schadcode ausführen
Bild: WinRAR

Ein unter dem Pseudonym „goodbyeselene“ auftretender Sicherheitsforscher der Zero Day Initiative (ZDI) hat kürzlich auf eine Schwachstelle in dem weitverbreiteten Archivierungstool WinRAR hingewiesen, die es Angreifern erlaubt, bösartige Befehle auf einem Zielsystem auszuführen.

Öffnen spezieller RAR-Dateien reicht aus

Alles, was für die Ausnutzung der mit einem CVSS von 7,8 bewerteten schwerwiegenden Sicherheitslücke erforderlich ist, ist demnach eine denkbar einfache Benutzerinteraktion: Die Zielperson muss lediglich ein speziell präpariertes RAR-Archiv mit WinRAR öffnen. Während eine archivierte Schadsoftware normalerweise erst zum Problem wird, wenn der Anwender diese entpackt, liegt die Gefahr in diesem Fall in der Implementierung des Archivierungstools selbst, die die Ausführung von Schadcode ermöglicht. Das Entpacken des Inhalts der Archiv-Datei ist für eine Ausnutzung folglich nicht erforderlich.

Der Grund dafür liege dem Forscher zufolge in der Verarbeitung sogenannter Recovery Volumes durch das Packprogramm. Dabei führe eine nicht ordnungsgemäß implementierte Validierung von Benutzerdaten dazu, dass ein Angreifer einen „Speicherzugriff über das Ende eines zugewiesenen Puffers hinaus“ provozieren könne. Infolgedessen sei es ihm möglich, böswilligen Code „im Kontext des aktuellen Prozesses auszuführen“.

Ein Patch steht schon bereit

Der unter dem Namen Rarlab bekannte WinRAR-Entwickler hat schon am 2. August eine gepatchte Version des Archivierungstools bereitgestellt, die die als CVE-2023-40477 registrierte Sicherheitslücke schließt. Der ZDI-Forscher hatte den Entwickler erstmals am 8. Juni 2023 auf die Schwachstelle aufmerksam gemacht. Am vergangenen Donnerstag teilte er seine Erkenntnisse schließlich mit der Öffentlichkeit.

Der Patch steht ab Version 6.23 von WinRAR bereit, die sich wie gewohnt unterhalb dieser Meldung über den Download-Bereich von ComputerBase herunterladen lässt. Anwendern, die noch eine ältere Version nutzen, wird empfohlen, das Archivierungstool zeitnah zu aktualisieren.

7-Zip ist nicht betroffen

Für Nutzer von 7-Zip hat dessen Entwickler Igor Pavlov bereits Entwarnung gegeben. 7-Zip sei von dem Problem nicht betroffen, da das Tool weder die unrar.dll noch irgendwelche anderen Bestandteile des ursprünglichen unrar-Quellcodes verwende. „Der ursprüngliche unrar-Quellcode wurde nur als Referenz verwendet“, so Pavlov.

Da Windows 11 in Zukunft ab Werk RAR-Dateien und andere Archivformate verarbeiten können soll, dürfte der Einsatz von WinRAR für viele Anwender ohnehin bald obsolet werden.

Die Redaktion dankt ComputerBase-Leser „Intruder“ für den Hinweis zu dieser Meldung!

Update

Wie Heise Online inzwischen in Erfahrung gebracht haben will, bezieht sich die Sicherheitslücke offenbar nicht nur auf WinRAR selbst, sondern auch auf andere Anwendungen, die von den Bibliotheken unrar.dll und unrar64.dll Gebrauch machen. So habe beispielsweise der Entwickler von Total Commander mittlerweile einen entsprechenden Patch für seinen Dateimanager veröffentlicht.

Darüber hinaus habe Andreas Marx von AV-Test darauf hingewiesen, dass er „über 400 Programme“ identifiziert habe, die die von Rarlab bereitgestellten Bibliotheken verwenden. Betroffen seien etwa auch Antivirenprogramme, die diese DLLs verwenden, um RAR-Archive zu durchsuchen.

Obendrein haben Sicherheitsforscher von Group-IB kürzlich auf noch eine weitere Sicherheitslücke mit der Bezeichnung CVE-2023-38831 hingewiesen, die ebenfalls mit der Version 6.23 von WinRAR geschlossen wurde. Diese werde von Cyberkriminellen schon seit April ausgenutzt, um gezielt Malware in Fachforen für Händler zu verbreiten und Gelder von Brokerkonten zu stehlen.

Update

Da in den letzten Tagen reichlich Unklarheit darüber herrschte, welche Anwendungen nun von CVE-2023-40477 betroffen sind und welche nicht, hat der Entwickler von WinRAR mittlerweile selber ein Statement zum Sachverhalt veröffentlicht. Demnach seien die von Rarlab bereitgestellten Bibliotheken unrar.dll und unrar64.dll grundsätzlich nicht anfällig für eine Ausnutzung der Sicherheitslücke. Grund dafür sei der Umstand, dass die DLL-Dateien den problematischen Code gar nicht enthalten, da dies durch eine Präprozessorvariable namens „RARDLL“ verhindert werde.

Darüber hinaus weist Rarlab darauf hin, dass es für Angreifer schwierig sei, „den Inhalt von Daten zu kontrollieren, die über den Pufferrand hinaus geschrieben werden“, sodass eine gezielte Ausführung von Schadcode alles andere als trivial erscheint. „Alles, was wir bisher gesehen haben, ist ein Denial-of-Service, also ein Absturz der Anwendung, der nicht zur Codeausführung, zum Überschreiben von Systemdateien oder zu anderen schwerwiegenden Sicherheitsauswirkungen führt“, so der Entwickler.

Downloads

  • WinRAR Download

    4,8 Sterne

    WinRAR ist ein sehr gutes Packprogramm, bekannt geworden durch das effiziente RAR-Format.

    • Version 7.01 Deutsch
    • Version 7.10 Beta 2 Deutsch