Google: Staats-Hacker nutzen Winrar-Sicherheitslücke aus
Gleich mehrere unterschiedliche Hackergruppen, die den Geheimdiensten Russlands und Chinas zugeschrieben werden, sollen die Sicherheitslücke CVE-2023-38831 in dem Archivierungswerkzeug Winrar aktiv für Angriffe ausnutzen. Das berichtet die Threat Analysis Group (TAG) von Google(öffnet im neuen Fenster) und beruft sich dabei auf eigene Untersuchungen verschiedener Angriffe sowie Malware-Samples.
Der Fehler in Winrar selbst ist dabei denkbar einfach. Durch eine fehlerhafte Umsetzung im Umgang mit der Dateinamenerweiterung wird ein in dem Archiv deponiertes schadhaftes Skript automatisch ausgeführt. Zum Ausnutzen der Lücke reicht es also aus, Nutzer dazu zu bringen, eine Datei in einem unscheinbaren Archiv ansehen zu wollen. Wird das Archiv durch Winrar geöffnet, wird das Skript ausgeführt.
Die Lücke wird wohl schon seit April 2023 aktiv durch Angreifer ausgenutzt, ohne dass dies zunächst aufgefallen oder ein aktiv wirksamer Schutz verfügbar gewesen ist. Behoben worden ist die Lücke mit der Version 6.23 von Winrar, die seit Anfang August bereitsteht. Doch wie Googles TAG schreibt, sind wohl weiterhin zahlreiche Nutzer angreifbar, da diese das Update noch nicht installiert haben.
Konkret benennt Google in seiner Analyse Angriffe durch die Hackergruppe Frozenbarents, auch bekannt als Sandworm, die direkt dem russischen Militärgeheimdienst GRU unterstellt sein soll. Genutzt wurde die Lücke hier wohl für eine Phishing-Kampagne zum Ausleiten von Informationen der infizierten Geräte. Eine weitere zum GRU gehörende Gruppe, Frozenlake, soll mithilfe der Lücke Malware im ukrainischen Energiesektor verteilt haben. Konkret soll darüber eine Reverse-SSH-Shell installiert worden sein. Eine Islanddream (Apt40) genannte Gruppe aus China soll die Winrar-Lücke für eine Phishing-Kampagne genutzt haben.