News Archiv öffnen reicht: WinRAR-Schwachstelle lässt Angreifer Schadcode ausführen

[cbtestarossa]

Oh, höre ich zum ersten mal gibt es da irgendein Beispiel als Archiv? Würde mich echt interessieren, wie dies dann aussieht.

Ich hatte bereits schon 2 Archive die 7zip nicht entpacken konnte. Winrar schon.

 

[Djura]

Laut einem Artikel von golem.de wird die Lücke durch Hacker bereits seit April 2023 ausgenutzt. Ups.

 

[gymfan]

Laut einem Artikel von golem.de wird die Lücke durch Hacker bereits seit April 2023 ausgenutzt. Ups.

Nicht ganz, die hier in den News genannte Schwachstelle ist CVE-2023-40477.
Die heute in Google genannte Schwachstelle, die schon seit April ausgenutzt werden soll, ist CVE-2023-38831

Es kommt am Ende natürlich für den unbedachten User auf das Selbe heraus, da es egal ist, durch welche 0-Day Lücke man angegriffen wird. Da hilft mit Pech nur noch Brain.EXE.

Ich hatte bereits schon 2 Archive die 7zip nicht entpacken konnte. Winrar schon.

7zip kan halt auch nur die UnRAR-DLL oder UnRAR-Sourcen nutzen. Ob da mittlerweile alle Optionen von RAR 5.0 Format unterstützt werden? Die aktuellste Version kann in 7zip jedenalls noch nicht enthalten sein, die UnRAR Sourcen stammen vom 01.08.2023, 7-Zip 23.01 vom 20.06.2023.

 

[leimer]

Ich hatte bereits schon 2 Archive die 7zip nicht entpacken konnte. Winrar schon.

7zip kan halt auch nur die UnRAR-DLL oder UnRAR-Sourcen nutzen. Ob da mittlerweile alle Optionen von RAR 5.0 Format unterstützt werden? Die aktuellste Version kann in 7zip jedenalls noch nicht enthalten sein, die UnRAR Sourcen stammen vom 01.08.2023, 7-Zip 23.01 vom 20.06.2023.

7-Zip verwendet nicht die Sourcen von unrar. Zitat von Igor Pavlov, dem Hauptprogrammierer von 7-Zip, auf die Frage, ob 7-Zip von der Sicherheitslücke betroffen sei (Quelle):

7-zip doesn't use unrar.dll and 7-zip doesn't use another code from orginal unrar source code. Original unrar source code was used only as reference.

Das dürfte auch erklären, warum einige rar-Archive mit 7zip nicht entpackt werden können.

 

[Djura]

Nicht ganz, die hier in den News genannte Schwachstelle ist CVE-2023-40477.
Die heute in Google genannte Schwachstelle, die schon seit April ausgenutzt werden soll, ist CVE-2023-38831

Danke für den Hinweis. Hätte ich mal genauer hingesehen. 🫣

 

[coffee4free]

Artikel-Update: Wie Heise Online inzwischen in Erfahrung gebracht haben will, bezieht sich die Sicherheitslücke offenbar nicht nur auf WinRAR selbst, sondern auch auf andere Anwendungen, die von den Bibliotheken unrar.dll und unrar64.dll Gebrauch machen. So habe beispielsweise der Entwickler von Total Commander mittlerweile einen entsprechenden Patch für seinen Dateimanager veröffentlicht.

Darüber hinaus habe Andreas Marx von AV-Test darauf hingewiesen, dass er „über 400 Programme“ identifiziert habe, die die von Rarlab bereitgestellten Bibliotheken verwenden. Betroffen seien etwa auch Antivirenprogramme, die diese DLLs verwenden, um RAR-Archive zu durchsuchen.

Obendrein haben Sicherheitsforscher von Group-IB kürzlich auf noch eine weitere Sicherheitslücke mit der Bezeichnung CVE-2023-38831 hingewiesen, die ebenfalls mit der Version 6.23 von WinRAR geschlossen wurde. Diese werde von Cyberkriminellen schon seit April ausgenutzt, um gezielt Malware in Fachforen für Händler zu verbreiten und Gelder von Brokerkonten zu stehlen.

 

[Project 2501]

Ich kenne auch ein paar unbelehrbare die auf allen PCs die WinRAR-Shareware installieren statt einfach 7-zip zu nutzen.

 

[flappes]

Uh, müsste man da nicht vorsichtig sein? Ist ein russischer Entwickler.

Ist ja OpenSource und wenn du dich dann besser fühlst, es gibt den Fork Nana-Zip, mit besserer Windows-Integration. https://github.com/M2Team/NanaZip

 

[Rexaris]

Betroffen seien etwa auch Antivirenprogramme, die diese DLLs verwenden, um RAR-Archive zu durchsuchen.

Na zum Glück hab ich ein Antivirenprogramm dass erst einmal alle *.rar scannt, die in dubiosen Mail-Anhängen rumfliegen.

 

[h00bi]

Muss es denn zwingend ein RAR Archiv sein?
Oder können auch andere Archivtypen diesen Exploit bei alten WinRAR Versionen auslösen?

 

[h3@d1355_h0r53]

Das Update des Artikels enthält eine sehr nützliche Information: Virenscanner erhöhen die Angriffsfläche.

Wenn ich kein Programm mit RAR installiert habe und die DLLs nicht nutze, kann ich nicht erfolgreich angegriffen werden. Aber dank Virenscanner, der die Datei scannt, schon.

 

[iSteven]

Darüber hinaus habe Andreas Marx von AV-Test darauf hingewiesen, dass er „über 400 Programme“ identifiziert habe

Gibt es dafür eine Liste wo man schauen kann ob man betroffen ist? Würde mich über einen Link freuen.

 

[Incanus]

Wahrscheinlich praktisch alle, die RAR-Archive öffnen können, da kaum ein Programm die Bibliotheken selber schreibt. 7Zip beispielsweise ausgenommen.
Also würde ich einfach mal nach unrar.dll bzw. unrar64.dll suchen.

 

[JennyCB]

Einfach nach unrar*.dll suchen.
Bei mir gab es einen Fund bei AllDup portable, aktuelle Version 4.5.48.
Dann von https://www.rarlab.com/rar_add.htm die Version 6.23 runter geladen und ersetzt.

 

[Darkman.X]

Die Programme/Tools patchen, indem man die DLL-Datei selber austauscht -> sehr gute Idee.

Falls jemand "madVR v0.92.17" nutzt, das hat auch eine unrar.dll.

 

[bad_sign]

Sehr brisantes Update
Dann dürfte Jdownloader auch dabei sein

 

[Darkman.X]

Gute Frage. Ich habe auch JDownloader, aber keine unrar.dll gefunden. Ich habe auch mit *rar*.* gesucht und nichts gefunden. Im Unterverzeichnis "libs" habe ich nur eine "zip4j.jar" (A Java library for zip files / streams) gefunden, aber kein Hinweis auf RAR. Keine Ahnung, wie/womit JD die RAR-Dateien öffnet.

 

[Fatal3ty]

Habe gerade die Artikel von 1/2022 zufällig entdeckt und gelesen und diese Sicherheitslücke scheint nicht neu zu sein. Chip Magazin (lag lange im Regal), die meine Bekannte aus Deutschland damals für mich mitgebracht hatte.

 

[Darkman.X]

häh? Was hat eine Sicherheitslücke im Shareware-Hinweis-Fenster mit der aktuellen Sicherheitslücke bei der Verarbeitung von RAR-Dateien zu tun?

 

[Fatal3ty]

Achso dann hab ich ähliche Fehler verwechselt. Sorry 🫣