Abo
  • IT-Karriere:

Präparierte Archive: Uralte Sicherheitslücke in Winrar wird aktiv ausgenutzt

Trojaner nutzen eine 19 Jahre alte Sicherheitslücke in Winrar aus. Ein Update steht bereit. Auch andere Packprogramme könnten betroffen sein.

Artikel veröffentlicht am ,
Ob dieses Paket wohl Schadsoftware enthält?
Ob dieses Paket wohl Schadsoftware enthält? (Bild: jesse ramirez/Unsplash)

Erst kürzlich wurde eine 19 Jahre alte Sicherheitslücke in dem Packprogramm Winrar entdeckt. Mit der Sicherheitslücke in der ACE-Bibliothek ist es möglich, Dateien an beliebige Orte im System zu entpacken, auf die der Nutzer Schreibrechte hat.

Stellenmarkt
  1. KARL MAYER Holding GmbH & Co. KG, Obertshausen
  2. NORDAKADEMIE gemeinnützige AG, Elmshorn

Mittlerweile wird die Sicherheitslücke aktiv ausgenutzt. Präparierte ACE-Archive wurden von der Sicherheitsfirma Checkpoint sowie dem Sicherheitsforscher Rich Warren im Internet gesehen. Die Archive entpacken eine JavaScript-Datei in den Windows-Autostart. Diese lädt beim nächsten Nutzerlogin Schadsoftware aus dem Internet nach.

Winrar-Nutzer sollten dringend auf Version 5.70 aktualisieren, die verwundbare ACE-Bibliothek wurde hier entfernt. Die seit 2005 nicht mehr aktualisierte Bibliothek kann allerdings auch in anderen Anwendungen zum Einsatz kommen. Auch diese dürften von der Sicherheitslücke betroffen sein.

Schadsoftware wird nachgeladen

Das aus dem ACE-Archiv in den Autostart entpackte Javascript lädt beim nächsten Nutzerlogin die Schadsoftware Orcus aus dem Internet nach. Mit Orcus können Tastatureingaben (Keylogger), Bildschirminhalt und Aufnahmen über Webcam oder Mikrofon von einem Angreifer ausgeleitet werden. Die Software bietet zudem die Möglichkeit, weitere Plugins nachzuladen. Die Software wird laut dem Journalisten Brian Krebs offiziell als Remote Administration Tool (RAT) vermarktet, mit deren Hilfe Rechner aus der Ferne administriert werden können. Der Support unterstützt jedoch auch beim Eindringen in fremde Systeme.

Päparierte ACE-Archive können neben .ace auch andere Dateiendungen wie beispielsweise .rar verwenden. Letztere wurden bereits von der Sicherheitsfirma 360 Threat Intelligence Center im Internet entdeckt. Auch bei diesen wird eine Schadsoftware in den Windows-Autostart entpackt.

Nachtrag vom 1. März 2019, 10:00 Uhr

Ursprünglich wurde im Artikel die Windows Benutzerkontensteuerung (UAC) als eine mögliche Gegenmaßnahme genannt. Da diese nur einen unzureichenden Schutz bietet, wurde sie entfernt.



Anzeige
Hardware-Angebote
  1. 529,00€
  2. 349,00€
  3. 279€ (Bestpreis!)
  4. 107€ (Bestpreis!)

Hotohori 02. Mär 2019

Ja, Gestern über ein paar sehr alte Rar Archive auf meiner Festplatte gestolpert, ließen...

Kakiss 28. Feb 2019

Vielen Dank auch dafür, da ich ebenfalls Total commander nutze und die...


Folgen Sie uns
       


AMD stellt Navi-Grafikkarten vor

Die neuen GPUs sollen deutlich effizienter und leistungsstärker sein und ab Juli 2019 verfügbar sein.

AMD stellt Navi-Grafikkarten vor Video aufrufen
Indiegames-Rundschau: Von Bananen und Astronauten
Indiegames-Rundschau
Von Bananen und Astronauten

In Outer Wilds erlebt ein Astronaut in Murmeltier-Manier das immer gleiche Abenteuer, in My Friend Pedro tötet ein maskierter Auftragskiller im Auftrag einer Banane, dazu gibt es Horror von Lovecraft: Golem.de stellt die Indiegames-Highlights des Sommers vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  2. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter
  3. Indiegames-Rundschau Zwischen Fließband und Wanderlust

In eigener Sache: Zeig's uns!
In eigener Sache
Zeig's uns!

Golem kommt zu dir: Golem.de möchte noch mehr darüber wissen, was IT-Profis in ihrem Berufsalltag umtreibt. Dafür begleitet jeder unserer Redakteure eine Woche lang ein IT-Team eines Unternehmens. Welches? Dafür bitten wir um Vorschläge.

  1. In eigener Sache Golem.de bietet Seminar zu TLS an
  2. In eigener Sache ITler und Board kommen zusammen
  3. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

    •  /