Das Komprimierungsprogramm WinRAR weist in älteren Versionen eine schwerwiegende Sicherheitslücke auf, die auch Unternehmen gefährdet. |
The compression program WinRAR has a serious vulnerability in older versions, which puts companies at risk. |
---|---|
Das Programm zur Komprimierung und Archivierung von Dateien WinRAR enthielt in älteren Versionen eine schwerwiegende Sicherheitslücke. Diese Schwachstelle ermöglichte es potenziellen Angreifern, nach dem Öffnen eines entsprechend präparierten Archivs beliebigen Code auszuführen. Die Schwachstelle wurde von einem Sicherheitsforscher der Zero Day Initiative von Trend Micro bereits im Juni entdeckt, aber erst am vergangenen Donnerstag öffentlich gemacht. Der Hersteller von WinRAR, RARLAB, hat die Lücke mit einem Update Anfang August geschlossen.
„WinRAR stammt aus einer Zeit, als ZIP-Funktionen noch nicht eingebaut waren und RARs nur mit WinRAR entpackt werden konnten. Vielleicht ist das die unterschätzte Gefahr. Denn so mancher Nutzer oder Administrator erinnert sich gar nicht mehr daran, irgendwo einen WinRAR-Zombie installiert zu haben und denkt deshalb auch nicht an das Update“, sagt Udo Schneider, IoT Security Evangelist Europe bei Trend Micro. Richard Werner, Business Consultant bei Trend Micro ergänzt: „Bereits seit längerem deutet sich ein neuer Trend in der kriminellen Szene an. Es wird weiter nach Schwachstellen vor allem in weit verbreiteter Nicht-Standard-Software gesucht. Kennt man als Administrator die Hintergründe nicht, ist auch der relativ niedrige CVSS (Common Vulnerability Scoring System)-Wert etwas, was für eine niedrige Priorisierung im Unternehmenskontext sorgt. Das sind alles Gründe, warum sich Hacker gerade derartige Sicherheitslücken aussuchen, um damit anzugreifen. Sie sind oft nicht bekannt und selbst wenn sie es sind, werden sie als niedriges Risiko betrachtet.“ Werner führt weiter aus: „Jüngstes Beispiel ist das Komprimierungsverfahren WinRAR. In einem am 02. August veröffentlichten Statement beschrieb der Hersteller RARLAB gleich zwei nennenswerte Schwachstellen deren Ausnutzung bereits nachgewiesen und/oder im Verhältnis einfach auszunutzen ist. Die Schwachstelle CVE-2023-38831 beschreibt dabei, dass Malware in speziell vorbereitete Archive „geschmuggelt werden kann“, während CVE-2023-40477 die Ausführung von Code auf einer betroffenen Maschine ermöglicht. Beide Probleme können mit dem Update auf die neueste Version von WinRAR behoben werden. Die Updates müssen aber auch durchgeführt werden und das ist es, was vielen Unternehmen Schwierigkeiten bereitet. Wie groß ist die Gefahr? Das ist schwer zu sagen. Für CVE-2023-38831 gibt es offenbar schon „in the Wild“-Archive, die eine Ausnutzung bestätigen. In ihrem Fall waren die „Bösen“ schneller. Bisher fanden sich entsprechende Attacken aber fast ausschließlich im Bereich der Kryptowährungswelt. Sicherheitslösungen in Unternehmen haben durch moderne Erkennungsmethoden derartige Angriffe meist zuverlässig im Griff. Interessanter wird es bei 2023-40477. Sie wurde von Sicherheitsforschern gefunden und ist damit also kein „Zero Day“. Die Lücke hat mit 7.8 einen für Remote Code Execution (RCE)-Verhältnisse niedrigen CVSS-Score und wird nicht als kritisch, sondern „wichtig“ (important) eingestuft. Der Grund ist, dass eine User-Interaktion erfolgen muss. Nur jemand mit Zugriff auf eine Maschine kann sie theoretisch ausnutzen. Hierbei handelt es sich um einen dieser Fälle, wo Theorie und Praxis von vielen Dingen abhängen. Denn Zugriff zu haben, ist für Cyberkriminelle – gerade im Geschäftsbereich – das Ziel aller Aktionen. So reicht es, wenn ein verwundbares System auf präparierte Webseiten zugreift oder ein entsprechendes File öffnet. Diese Standard-Ransomware-Angriffsmuster erlauben es, die Lücke auszunutzen und entsprechenden Code auszuführen. Es ist deshalb nur eine Frage der Zeit, bis es auch getan wird. Beide Lücken können durch ein einfaches Update auf die neueste Version behoben werden. Aber auch das ist für Unternehmen oft eine Herausforderung. Denn es handelt sich eben nicht um Standardsoftware. Hier gibt es möglicherweise keinen zentralen Update-Mechanismus und es kommt sogar vor, dass Administratoren sich des Vorhandenseins der Software nicht bewusst sind. Kennt man die Hintergründe nicht, ist auch der relativ niedrige CVSS (Common Vulnerability Scoring System)-Wert etwas, was für eine niedrige Priorisierung im Unternehmenskontext sorgt. Das sind alles Gründe, warum sich Hacker gerade derartige Sicherheitslücken aussuchen, um damit anzugreifen. Sie sind oft nicht bekannt und selbst wenn sie es sind, werden sie als niedriges Risiko betrachtet.“ |
The program for compressing and archiving files WinRAR contained a serious security vulnerability in older versions. This vulnerability allowed potential attackers to execute arbitrary code after opening a suitably crafted archive. The vulnerability was discovered by a security researcher from Trend Micro’s Zero Day Initiative back in June, but was only made public last Thursday. The maker of WinRAR, RARLAB, closed the gap with an update in early August.
„WinRAR dates back to a time when ZIP functions were not built in and RARs could only be unpacked with WinRAR. Perhaps that’s the underestimated danger. Because many a user or administrator doesn’t even remember having a WinRAR zombie installed somewhere and therefore doesn’t think to update it,“ said Udo Schneider, IoT Security Evangelist Europe at Trend Micro. Richard Werner, Business Consultant at Trend Micro adds: „A new trend has been emerging in the criminal scene for some time now. The search for vulnerabilities continues, especially in widely used non-standard software. If administrators don’t know the background, the relatively low CVSS (Common Vulnerability Scoring System) value is also something that makes for low prioritization in the corporate context. These are all reasons why hackers choose just such vulnerabilities to attack with. They’re often not known about, and even if they are, they’re considered low risk.“ Werner continues, „The latest example is the WinRAR compression method. In a statement published on August 02, the manufacturer RARLAB described no less than two notable vulnerabilities whose exploitation has already been proven and/or is relatively easy to exploit. The vulnerability CVE-2023-38831 describes that malware can be „smuggled“ into specially prepared archives, while CVE-2023-40477 allows the execution of code on an affected machine. Both issues can be fixed by updating to the latest version of WinRAR. However, the updates must also be performed, and that’s what’s causing trouble for many companies. How much of a threat is this? It’s hard to say. For CVE-2023-38831, there are apparently already „in the wild“ archives that confirm exploitation. In their case, the „bad guys“ were faster. So far, however, corresponding attacks have been found almost exclusively in the cryptocurrency world. Security solutions in companies usually have such attacks reliably under control thanks to modern detection methods. Things get more interesting with 2023-40477. It was found by security researchers and is therefore not a „zero day“. The vulnerability has a CVSS score of 7.8, which is low by Remote Code Execution (RCE) standards, and is classified as „important“ rather than critical. The reason is that user interaction must occur. Only someone with access to a machine can theoretically exploit it. This is one of those cases where theory and practice depend on many things. Because having access is the goal of all actions for cybercriminals – especially in business. Thus, it is enough for a vulnerable system to access prepared websites or open a corresponding file. These standard ransomware attack patterns allow exploiting the gap and executing corresponding code. Therefore, it is only a matter of time before it is done. Both gaps can be fixed by a simple update to the latest version. But even that is often a challenge for companies. After all, this is not standard software. Here, there may be no central update mechanism and it even happens that administrators are not aware of the presence of the software. If you don’t know the background, the relatively low CVSS (Common Vulnerability Scoring System) score is also something that makes for low prioritization in the corporate context. These are all reasons why hackers choose just such vulnerabilities to attack with. They’re often not known about, and even if they are, they’re considered low risk.“ |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de