Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Präparierte Archive: Uralte Sicherheitslücke in Winrar wird aktiv ausgenutzt

Trojaner nutzen eine 19 Jahre alte Sicherheitslücke in Winrar aus. Ein Update steht bereit. Auch andere Packprogramme könnten betroffen sein.
/ Moritz Tremmel
25 Kommentare News folgen (öffnet im neuen Fenster)
Ob dieses Paket wohl Schadsoftware enthält? (Bild: jesse ramirez)
Ob dieses Paket wohl Schadsoftware enthält? Bild: jesse ramirez / Unsplash

Erst kürzlich wurde eine 19 Jahre alte Sicherheitslücke in dem Packprogramm Winrar entdeckt. Mit der Sicherheitslücke in der ACE-Bibliothek ist es möglich, Dateien an beliebige Orte im System zu entpacken, auf die der Nutzer Schreibrechte hat.

Mittlerweile wird die Sicherheitslücke aktiv ausgenutzt. Präparierte ACE-Archive wurden von der Sicherheitsfirma Checkpoint(öffnet im neuen Fenster) sowie dem Sicherheitsforscher Rich Warren(öffnet im neuen Fenster) im Internet gesehen. Die Archive entpacken eine JavaScript-Datei in den Windows-Autostart. Diese lädt beim nächsten Nutzerlogin Schadsoftware aus dem Internet nach.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT Service Manager (m/w/d) Simon Hegele Gesellschaft für Logistik und Service mbH, Karlsdorf-Neuthard,Homeoffice (öffnet im neuen Fenster)
IT-Administrator für die Schul-IT (m/w/d) Öffentlicher Dienst Stadt Nürtingen, Nürtingen (öffnet im neuen Fenster)
IT-Support/Servicedesk (w/m/d) Kassenzahnärztliche Vereinigung Niedersachsen, Hannover (öffnet im neuen Fenster)
IT-Fachinformatiker (m/w/d) Hitschler International GmbH & Co. KG, Hürth (öffnet im neuen Fenster)
Referent:in für Digitalisierung mit dem Schwerpunkt Prozessdigitalisierung Digitalagentur Thüringen GmbH, Erfurt (öffnet im neuen Fenster)
Mitarbeiter (m/w/d) Leitstand Logistik für IT-nahe Logistiksysteme Sanner GmbH, Bensheim (öffnet im neuen Fenster)
Mitarbeiterin / Mitarbeiter (w/m/d) »Administration & Customizing Jira & Confluence« Bundeskriminalamt, Wiesbaden (öffnet im neuen Fenster)
System Administrator (m/w/d) ECOMAL Europe GmbH, Kirchzarten (öffnet im neuen Fenster)

Winrar-Nutzer sollten dringend auf Version 5.70 aktualisieren(öffnet im neuen Fenster) , die verwundbare ACE-Bibliothek wurde hier entfernt. Die seit 2005 nicht mehr aktualisierte Bibliothek kann allerdings auch in anderen Anwendungen zum Einsatz kommen. Auch diese dürften von der Sicherheitslücke betroffen sein.

Schadsoftware wird nachgeladen

Das aus dem ACE-Archiv in den Autostart entpackte Javascript lädt beim nächsten Nutzerlogin die Schadsoftware Orcus aus dem Internet nach. Mit Orcus(öffnet im neuen Fenster) können Tastatureingaben (Keylogger), Bildschirminhalt und Aufnahmen über Webcam oder Mikrofon von einem Angreifer ausgeleitet werden. Die Software bietet zudem die Möglichkeit, weitere Plugins nachzuladen. Die Software wird laut dem Journalisten Brian Krebs(öffnet im neuen Fenster) offiziell als Remote Administration Tool (RAT) vermarktet, mit deren Hilfe Rechner aus der Ferne administriert werden können. Der Support unterstützt jedoch auch beim Eindringen in fremde Systeme.

Päparierte ACE-Archive können neben .ace auch andere Dateiendungen wie beispielsweise .rar verwenden. Letztere wurden bereits von der Sicherheitsfirma 360 Threat Intelligence Center im Internet entdeckt(öffnet im neuen Fenster) . Auch bei diesen wird eine Schadsoftware in den Windows-Autostart entpackt.

Nachtrag vom 1. März 2019, 10:00 Uhr

Ursprünglich wurde im Artikel die Windows Benutzerkontensteuerung (UAC) als eine mögliche Gegenmaßnahme genannt. Da diese nur einen unzureichenden Schutz bietet, wurde sie entfernt.

Zur Startseite 25 Kommentare

Relevante Themen

SoftwareToolsSecuritySicherheitslückeCybercrimeDatensicherheitMalware