WinRAR, das weit verbreitete Programm zur Kompression und Archivierung von Dateien, wies in älteren Versionen eine schwerwiegende Sicherheitslücke auf. Diese Lücke ermöglichte es potenziellen Angreifern, nach dem Öffnen eines entsprechend präparierten Archivs beliebigen Code auszuführen. Entdeckt hatte die Lücke ein Sicherheitsforscher von Trend Micros Zero Day Initiative bereits im Juni, machte sie aber erst vergangenen Donnerstag öffentlich. Der Hersteller von WinRAR, RARLAB, stopfte die Lücke mithilfe eines Updates Anfang August. 

„WinRAR kommt aus einer Zeit als ZIP-Funktionen noch nicht eingebaut waren und RARs nur mit WinRAR entpackt werden konnten. Das ist vielleicht die unterschätzte Gefahr. Denn manch ein Nutzer oder Administrator erinnert sich gar nicht mehr, noch irgendwo einen WinRAR-Zombie installiert zu haben und denkt daher auch nicht an das Update.“, so Udo Schneider, IoT Security Evangelist Europe bei Trend Micro.

Richard Werner, Business Consultant bei Trend Micro ergänzt: „Bereits seit längerem deutet sich ein neuer Trend in der kriminellen Szene an. Es wird weiter nach Schwachstellen vor allem in weit verbreiteter Nicht-Standard-Software gesucht. Kennt man als Administrator die Hintergründe nicht, ist auch der relativ niedrige CVSS (Common Vulnerability Scoring System)-Wert etwas, was für eine niedrige Priorisierung im Unternehmenskontext sorgt. Das sind alles Gründe, warum sich Hacker gerade derartige Sicherheitslücken aussuchen, um damit anzugreifen. Sie sind oft nicht bekannt und selbst wenn sie es sind, werden sie als niedriges Risiko betrachtet.“

Kommentar von Richard Werner, Business Consultant bei Trend Micro zur WinRAR-Schwachstelle:

Bereits seit längerem deutet sich ein neuer Trend in der kriminellen Szene an. Es wird weiter nach Schwachstellen gesucht. Aber vor allem in weit verbreiteter Nicht-Standard-Software. Jüngstes Beispiel ist das Komprimierungsverfahren WinRAR. In einem am 02. August veröffentlichten Statement beschrieb der Hersteller RARLAB gleich zwei nennenswerte Schwachstellen deren Ausnutzung bereits nachgewiesen und/oder im Verhältnis einfach auszunutzen ist. Die Schwachstelle CVE-2023-38831 beschreibt dabei, dass Malware in speziell vorbereitete Archive „geschmuggelt werden kann“, während CVE-2023-40477 die Ausführung von Code auf einer betroffenen Maschine ermöglicht. Beide Probleme können mit dem Update auf die neueste Version von WinRAR behoben werden. Die Updates müssen aber auch durchgeführt werden und das ist es, was vielen Unternehmen Schwierigkeiten bereitet.

Wie groß ist die Gefahr? Das ist schwer zu sagen. Für CVE-2023-38831 gibt es offenbar schon „in the Wild“-Archive, die eine Ausnutzung bestätigen. In ihrem Fall waren die „Bösen“ schneller. Bisher fanden sich entsprechende Attacken aber fast ausschließlich im Bereich der Kryptowährungswelt. Sicherheitslösungen in Unternehmen haben durch moderne Erkennungsmethoden derartige Angriffe meist zuverlässig im Griff. 

Interessanter wird es bei 2023-40477. Sie wurde von Sicherheitsforschern gefunden und ist damit also kein „Zero Day“. Die Lücke hat mit 7.8 einen für Remote Code Execution (RCE)-Verhältnisse niedrigen CVSS-Score und wird nicht als kritisch, sondern „wichtig“ (important) eingestuft. Der Grund ist, dass eine User-Interaktion erfolgen muss. Nur jemand mit Zugriff auf eine Maschine kann sie theoretisch ausnutzen. Hierbei handelt es sich um einen dieser Fälle, wo Theorie und Praxis von vielen Dingen abhängen. Denn Zugriff zu haben, ist für Cyberkriminelle – gerade im Geschäftsbereich – das Ziel aller Aktionen. So reicht es, wenn ein verwundbares System auf präparierte Webseiten zugreift oder ein entsprechendes File öffnet. Diese Standard-Ransomware-Angriffsmuster erlauben es, die Lücke auszunutzen und entsprechenden Code auszuführen. Es ist deshalb nur eine Frage der Zeit, bis es auch getan wird.   

Beide Lücken können durch ein einfaches Update auf die neueste Version behoben werden. Aber auch das ist für Unternehmen oft eine Herausforderung. Denn es handelt sich eben nicht um Standardsoftware. Hier gibt es möglicherweise keinen zentralen Update-Mechanismus und es kommt sogar vor, dass Administratoren sich des Vorhandenseins der Software nicht bewusst sind. Kennt man die Hintergründe nicht, ist auch der relativ niedrige CVSS (Common Vulnerability Scoring System)-Wert etwas, was für eine niedrige Priorisierung im Unternehmenskontext sorgt. Das sind alles Gründe, warum sich Hacker gerade derartige Sicherheitslücken aussuchen, um damit anzugreifen. Sie sind oft nicht bekannt und selbst wenn sie es sind, werden sie als niedriges Risiko betrachtet.