• IT-Karriere:
  • Services:

Präparierte Archive: Uralte Sicherheitslücke in Winrar wird aktiv ausgenutzt

Trojaner nutzen eine 19 Jahre alte Sicherheitslücke in Winrar aus. Ein Update steht bereit. Auch andere Packprogramme könnten betroffen sein.

Artikel veröffentlicht am ,
Ob dieses Paket wohl Schadsoftware enthält?
Ob dieses Paket wohl Schadsoftware enthält? (Bild: jesse ramirez/Unsplash)

Erst kürzlich wurde eine 19 Jahre alte Sicherheitslücke in dem Packprogramm Winrar entdeckt. Mit der Sicherheitslücke in der ACE-Bibliothek ist es möglich, Dateien an beliebige Orte im System zu entpacken, auf die der Nutzer Schreibrechte hat.

Stellenmarkt
  1. Consors Finanz BNP Paribas, München
  2. über duerenhoff GmbH, Raum Offenbach

Mittlerweile wird die Sicherheitslücke aktiv ausgenutzt. Präparierte ACE-Archive wurden von der Sicherheitsfirma Checkpoint sowie dem Sicherheitsforscher Rich Warren im Internet gesehen. Die Archive entpacken eine JavaScript-Datei in den Windows-Autostart. Diese lädt beim nächsten Nutzerlogin Schadsoftware aus dem Internet nach.

Winrar-Nutzer sollten dringend auf Version 5.70 aktualisieren, die verwundbare ACE-Bibliothek wurde hier entfernt. Die seit 2005 nicht mehr aktualisierte Bibliothek kann allerdings auch in anderen Anwendungen zum Einsatz kommen. Auch diese dürften von der Sicherheitslücke betroffen sein.

Schadsoftware wird nachgeladen

Das aus dem ACE-Archiv in den Autostart entpackte Javascript lädt beim nächsten Nutzerlogin die Schadsoftware Orcus aus dem Internet nach. Mit Orcus können Tastatureingaben (Keylogger), Bildschirminhalt und Aufnahmen über Webcam oder Mikrofon von einem Angreifer ausgeleitet werden. Die Software bietet zudem die Möglichkeit, weitere Plugins nachzuladen. Die Software wird laut dem Journalisten Brian Krebs offiziell als Remote Administration Tool (RAT) vermarktet, mit deren Hilfe Rechner aus der Ferne administriert werden können. Der Support unterstützt jedoch auch beim Eindringen in fremde Systeme.

Päparierte ACE-Archive können neben .ace auch andere Dateiendungen wie beispielsweise .rar verwenden. Letztere wurden bereits von der Sicherheitsfirma 360 Threat Intelligence Center im Internet entdeckt. Auch bei diesen wird eine Schadsoftware in den Windows-Autostart entpackt.

Nachtrag vom 1. März 2019, 10:00 Uhr

Ursprünglich wurde im Artikel die Windows Benutzerkontensteuerung (UAC) als eine mögliche Gegenmaßnahme genannt. Da diese nur einen unzureichenden Schutz bietet, wurde sie entfernt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. TV-Wandhalterungen günstiger (u. a. Schwenk- und neigbar für Fernseher bis 80 Zoll für 31...
  2. (u. a. Marvel's Spider-Man: Miles Morales 59,99€, Horizon: Forbidden West für 79,99€, Gran...
  3. (u. a. Spider-Man: Miles Morales für 59,99€, Demon's Souls für 79,99€, Sackboy: A Big...
  4. 499,99€ (Release 10.11.)

Hotohori 02. Mär 2019

Ja, Gestern über ein paar sehr alte Rar Archive auf meiner Festplatte gestolpert, ließen...

Anonymer Nutzer 28. Feb 2019

Vielen Dank auch dafür, da ich ebenfalls Total commander nutze und die...


Folgen Sie uns
       


    •  /