Am 04. September dieses Jahres, erhielt ich eine seltsame E-Mail. Eine «Update-Erinnerung» von WinRAR. Ich solle auf Version 6.23 updaten.
Da ist natürlich einer der ersten Gedanken: Ein Versuch, mir Schadsoftware unterzujubeln.
Die E-Mail besagt, dass zwei Sicherheitslücken behoben worden sind.
Irgendwie hatte ich das Gefühl, dass diese E-Mail legitim ist. Also habe ich nachgeforscht und es waren tatsächlich zwei kritische Lücken behoben worden. Also natürlich schnell auf den Windows Rechnern ein Update von der offiziellen Seite durchgeführt.
Am 18. Oktober, kam ein Blogbeitrag von Google, der besagt, dass die WinRAR Sicherheitslücken von Regierungen ausgenutzt wurden.
Spezifisch wird die Sicherheitslücke CVE-2023-38831 behandelt.
Wer sich jetzt fragt, was WinRAR ist: Es ist ein Archivierungsprogramm, welches komprimierte Archive erstellen und entpacken kann.
Die bestimmte Sicherheitslücke, die wir uns heute anschauen, betrifft das Entpacken von ZIP Archiven. Es ist nämlich möglich, ein ZIP Archiv zu erstellen, sodass, wenn es mit WinRAR entpackt wird, Schadsoftware ausgeführt wird.
Wer jetzt nicht die Details wissen will, und einfach geschützt sein will, soll auf WinRAR Version 6.23 oder neuer updaten.
Nun zu den Details:
Windows erlaubt es nicht, Leerzeichen in der Dateierweiterung zu haben. Also eine Datei namens «Bild.png_» wäre ungültig (Leerzeichen hier als Underscore dargestellt).
Wenn sich in einem ZIP Archiv eine Datei namens «Bild.png_» und ein Ordner gleichen Namens befinden, wird beim Doppelklick auf die Datei, sowohl die Datei als auch der Ordner extrahiert.
Also packt der Angreifer in den Ordner namens «Bild.png_» auch die Datei «Bild.png_.exe«, denn die wird ja gleich mit extrahiert.
Der Ablauf des Angriffs:
Das Opfer möchte die harmlose Datei Bild.png_, und bekommt ebenfalls Bild.png_/Bild.png_.exe extrahiert.
WinRAR ruft nun Bild.png_ auf, was laut Windows nicht gültig ist. Windows jedoch versucht schlau zu sein, und iteriert sich durch den Ordner mit einer Liste fest verbauter Erweiterungen: «.pif, .com, .exe, .bat, .lnk, .cmd» und trifft dabei auf Bild.png_.exe, und führt es aus.
Und schon ist das Opfer infiziert.
Warum Windows dies macht? Ich nehme an, es ist die gleiche Autovervollständigung wie wenn ich Programm.exe habe, und in der CMD lediglich Programm eingeben kann.
Das ist sehr einfach auszunutzen, und dabei noch so effektiv. Das ist natürlich für Regierungen sehr attraktiv. Wer jetzt wissen will, wie dies von Regierungen ausgenutzt wurde, dem empfehle ich den Blogbeitrag von Google (auf Englisch), siehe dazu die Quellen unten.
Also am besten gleich updaten!
Quellen: