[Special] Präparierte Archive - Uralte Sicherheitslücke in Winrar wird aktiv ausgenutzt

Allgemeine Informationen zu allen möglichen Themen.

[Special] Präparierte Archive - Uralte Sicherheitslücke in Winrar wird aktiv ausgenutzt

#1 » Beitragvon Giovanni » Mo Jan 06, 2020 3:46 pm

Wem es entgangen sein sollte:
Präparierte Archive

Uralte Sicherheitslücke in Winrar wird aktiv ausgenutzt


Trojaner nutzen eine 19 Jahre alte Sicherheitslücke in Winrar aus. Ein Update steht bereit. Auch andere Packprogramme könnten betroffen sein.

Erst kürzlich wurde eine 19 Jahre alte Sicherheitslücke in dem Packprogramm Winrar entdeckt. Mit der Sicherheitslücke in der ACE-Bibliothek ist es möglich, Dateien an beliebige Orte im System zu entpacken, auf die der Nutzer Schreibrechte hat.

Mittlerweile wird die Sicherheitslücke aktiv ausgenutzt. Präparierte ACE-Archive wurden von der Sicherheitsfirma Checkpoint sowie dem Sicherheitsforscher Rich Warren im Internet gesehen. Die Archive entpacken eine JavaScript-Datei in den Windows-Autostart. Diese lädt beim nächsten Nutzerlogin Schadsoftware aus dem Internet nach.

Winrar-Nutzer sollten dringend auf Version 5.70 aktualisieren, die verwundbare ACE-Bibliothek wurde hier entfernt. Die seit 2005 nicht mehr aktualisierte Bibliothek kann allerdings auch in anderen Anwendungen zum Einsatz kommen. Auch diese dürften von der Sicherheitslücke betroffen sein.

Schadsoftware wird nachgeladen

Das aus dem ACE-Archiv in den Autostart entpackte Javascript lädt beim nächsten Nutzerlogin die Schadsoftware Orcus aus dem Internet nach. Mit Orcus können Tastatureingaben (Keylogger), Bildschirminhalt und Aufnahmen über Webcam oder Mikrofon von einem Angreifer ausgeleitet werden. Die Software bietet zudem die Möglichkeit, weitere Plugins nachzuladen. Die Software wird laut dem Journalisten Brian Krebs offiziell als Remote Administration Tool (RAT) vermarktet, mit deren Hilfe Rechner aus der Ferne administriert werden können. Der Support unterstützt jedoch auch beim Eindringen in fremde Systeme.

Päparierte ACE-Archive können neben .ace auch andere Dateiendungen wie beispielsweise .rar verwenden. Letztere wurden bereits von der Sicherheitsfirma 360 Threat Intelligence Center im Internet entdeckt. Auch bei diesen wird eine Schadsoftware in den Windows-Autostart entpackt.

Nachtrag vom 1. März 2019, 10:00 Uhr

Ursprünglich wurde im Artikel die Windows Benutzerkontensteuerung (UAC) als eine mögliche Gegenmaßnahme genannt. Da diese nur einen unzureichenden Schutz bietet, wurde sie entfernt. (mtr)

Original-URL des Artikels:
Code: Alles auswählen
https://www.golem.de/news/praeparierte-archive-uralte-sicherheitsluecke-in-winrar-wird-aktiv-ausgenutzt-1902-139711.html

Kurz-URL:
Code: Alles auswählen
https://glm.io/139711

Veröffentlicht: 28.02.2019 13:55


Als Konsequenz sollte man also ältere WinRAR-Versionen vor 5.70 nicht mehr verwenden!
Code: Alles auswählen
https://www.rarlab.com/download.htm
Benutzeravatar
Giovanni
Senior-Moderator
 
Beiträge: 328
Registriert: Sa Nov 14, 2009 4:57 am
Danke gegeben: 132 mal
Danke bekommen: 459 mal

Zurück zu Allgemeine Informationen



 


  • Verwandte Themen
    Antworten
    Zugriffe
    Letzter Beitrag

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste