WinRAR kann beim Entpacken direkt Schadcode ausführen

SicherheitSicherheitsmanagement
WinRAR Logo (Grafik: Rarlab)

Das Problem findet sich im SFX-Modul der WinRAR-Version 5.21. Ein Angreifer könnte es Ausnutzen, um Schadcode einschleusen, der dann beim Entpacken einer SFX-Datei automatisch ausgeführt wird. Der Hersteller des Komprimierungs-Tools will das aber nicht als Sicherheitslücke gelten lassen.

Ein Fehler in WinRAR erlaubt es Unbefugten, Schadcode auf ein System einzuschleusen und dort auszuführen. Darauf hat Vulnerability Lab jetzt hingewiesen. Betroffen ist die aktuelle Version 5.21 des Komprimierungswerkzeugs.

Entdeckt wurde das Problem zurst vom der iranische Sicherheitsforscher Reza Espargham. Er vermutet, dass es auch in früheren Versionen des Packprogramms steckt, so dass bis zu 500 Millionen Nutzer betreffen sein könnten, wie Computerworld berichtet.

Konkret steckt der Fehler in der Routine zum Erstellen von SFX-Archiven, also selbst extrahierenden Archiven. Dieser Archivtyp kann grundsätzlich so konfiguriert werden, dass eine in dem Archiv enthaltene Datei beim Entpacken ausgeführt wird. Rarlab, der Herausgeber von WinRAR, stuft den Fehler deswegen nicht als sicherheitsrelevant ein.

“Die Lücke kann von einem entfernten Angreifer ohne Interaktion mit einem Nutzer ausgenutzt werden”, zitiert Computerworld dagegen Espargham, der sie auch in einem Video demonstriert. Pieter Arntz von Malwarebytes habe auf Grundlage von Esparghams Beispielcode einen Exploit entwickelt. Der nutzt die Möglichkeit, beim Erstellen eines SFX-Archivs HTML-Code in ein anzuzeigendes Fenster einzufügen. Dieser Code wiederum werde auf dem Rechner der Person ausgeführt, die das SFX-Archiv öffne, so Arntz.

Rarlab argumentiert, ein Hacker könne jederzeit “jede ausführbare Datei nehmen, in ein SFX-Archiv einfügen und an Nutzer verteilen. Das alleine macht Diskussionen über Anfälligkeiten in SFX-Archiven nutzlos. Ausführbare Dateien sind von Haus aus gefährlich. Man sollte sie nur ausführen, wenn sie aus vertrauenswürdigen Quellen stammen. Selbstextrahierende SFX-Archive sind nicht mehr oder weniger gefährlich als andere .exe-Dateien.”

Rarlab zufolge würde dadurch die HTML-Funktionalität des SFX-Moduls eingeschränkt, was den Nutzern schade, die die HTML-Funktion korrekt einsetzten. Zudem könne ein Hacker auch nach Bereitstellung eines Patches jederzeit eine alte Version des SFX-Moduls verwenden, um ein SFX-Archiv mit gefährlichem HTML-Code zu erstellen. Mit einem Patch ist daher offenbar nicht zu rechnen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen