Archiv öffnen reicht: WinRAR-Schwachstelle lässt Angreifer Schadcode ausführen
Verfasst: Montag 21. August 2023, 22:29
Ein unter dem Pseudonym „goodbyeselene“ auftretender Sicherheitsforscher der Zero Day Initiative (ZDI) hat kürzlich auf eine Schwachstelle in dem weitverbreiteten Archivierungstool WinRAR hingewiesen, die es Angreifern erlaubt, bösartige Befehle auf einem Zielsystem auszuführen.
Öffnen spezieller RAR-Dateien reicht aus
Alles, was für die Ausnutzung der mit einem CVSS von 7,8 bewerteten schwerwiegenden Sicherheitslücke erforderlich ist, ist demnach eine denkbar einfache Benutzerinteraktion: Die Zielperson muss lediglich ein speziell präpariertes RAR-Archiv mit WinRAR öffnen. Während eine archivierte Schadsoftware normalerweise erst zum Problem wird, wenn der Anwender diese entpackt, liegt die Gefahr in diesem Fall in der Implementierung des Archivierungstools selbst, die die Ausführung von Schadcode ermöglicht. Das Entpacken des Inhalts der Archiv-Datei ist für eine Ausnutzung folglich nicht erforderlich.
Der Grund dafür liege dem Forscher zufolge in der Verarbeitung sogenannter Recovery Volumes durch das Packprogramm. Dabei führe eine nicht ordnungsgemäß implementierte Validierung von Benutzerdaten dazu, dass ein Angreifer einen „Speicherzugriff über das Ende eines zugewiesenen Puffers hinaus“ provozieren könne. Infolgedessen sei es ihm möglich, böswilligen Code „im Kontext des aktuellen Prozesses auszuführen“.
Ein Patch steht schon bereit
Der unter dem Namen Rarlab bekannte WinRAR-Entwickler hat schon am 2. August eine gepatchte Version des Archivierungstools bereitgestellt, die die als CVE-2023-40477 registrierte Sicherheitslücke schließt. Der ZDI-Forscher hatte den Entwickler erstmals am 8. Juni 2023 auf die Schwachstelle aufmerksam gemacht. Am vergangenen Donnerstag teilte er seine Erkenntnisse schließlich mit der Öffentlichkeit.
Der Patch steht ab Version 6.23 von WinRAR bereit, die sich wie gewohnt unterhalb dieser Meldung über den Download-Bereich von ComputerBase herunterladen lässt. Anwendern, die noch eine ältere Version nutzen, wird empfohlen, das Archivierungstool zeitnah zu aktualisieren.
7-Zip ist nicht betroffen
Für Nutzer von 7-Zip hat dessen Entwickler Igor Pavlov bereits Entwarnung gegeben. 7-Zip sei von dem Problem nicht betroffen, da das Tool weder die unrar.dll noch irgendwelche anderen Bestandteile des ursprünglichen unrar-Quellcodes verwende. „Der ursprüngliche unrar-Quellcode wurde nur als Referenz verwendet“, so Pavlov.
Da Windows 11 in Zukunft ab Werk RAR-Dateien und andere Archivformate verarbeiten können soll, dürfte der Einsatz von WinRAR für viele Anwender ohnehin bald obsolet werden.