Das hat Sicherheitsspezialist McAfee herausgefunden. Die 19 Jahre unentdeckte Schwachstelle befindet sich in unacev2.dll, das zum Entpacken von ACE-Archiven genutzt wird.

Die im Februar entdeckte Schwachstelle, die fast alle in den letzten 19 Jahren veröffentlichten WinRAR-Versionen betrifft, ist für viele Cyberkriminelle im Laufe des letzten Monats zum begehrten Angriffspunkt geworden. Das geht aus einer Untersuchung des Sicherheitsspezialisten McAfee hervor. McAfee hat mehrere Kampagnen in den vergangenen Wochen entdeckt, bei denen Cyberkriminelle-Gruppen und möglicherweise einige nationalstaatliche Hacker versucht haben, die WinRAR-Schwachstelle auszunutzen.

Die Schwachstelle wurde am 20. Februar von Sicherheitsforschern des Cybersicherheitsunternehmens Check Point öffentlich bekannt gegeben. Ein Angreifer kann damit ACE-Archive erstellen, die, wenn sie mit der WinRAR-App entpackt werden, bösartigen Code in einem Computersystem verankert.

Nach Angaben von Check Point könnten Angreifer diese Schwachstelle (CVE-2018-20250) nutzen, um Malware im Windows-Start-Ordner zu platzieren, wo sie nach jedem Systemneustart automatisch ausgeführt wird.

Laut McAfee ist diese potentielle Gefahr nun Realität geworden. Innerhalb von einer Woche nach Bekanntwerden der Lücke begannen Hackergruppen, die Schwachstelle auszunutzen, um Backdoor-Trojaner auf den Computern der Benutzer zu platzieren.

Die Spam-Kampagnen wurden nach der ersten Variante fortgesetzt und diversifiziert, um verschiedene Malware-Nutzlasten zu verteilen, wobei verschiedene Köder verwendet wurden, die von technischen Dokumenten bis hin zu Nacktbilder von Prominenten reichen.

Bösartige Archive, die versuchten, den WinRAR-Fehler auszunutzen, wurden einen Tag vor dem zweiten Donald Trump und Kim Jong-un-Gipfel, der Ende Februar in Vietnam stattfand, auch an südkoreanische Regierungsbehörden geschickt.

Während bislang Sicherheitsforscher keine Verbindungen zu staatlichen Hacking-Gruppen bestätigte, stimmte das Timing und das Targeting mit nationalstaatlichen Hacking-Aktionen überein.

Aber dies war nicht das einzige Ereignis, bei dem politisch thematische Spear-Phishing-Kampagnen mit dem WinRAR-Exploit registriert wurden. Laut McAfee gab es mindestens noch zwei weitere.

Die erste benutzte ein Thema über ein ukrainisches Gesetz, um die Opfer dazu zu bringen, ein bösartiges Archiv zu entpacken, das den WinRAR-Fehler ausnutzt. Und dann gab es noch eine zweite Kampagne, die mit einem Köder über die Vereinten Nationen und die Menschenrechte Nutzer im Nahen Osten adressierte.

Beides seien sehr gezielte Angriffe und höchstwahrscheinlich die Arbeit von Geheimdiensten, die sich mit Cyberspionage beschäftigen.

Doch auch Privatnutzer geraten ins Visier der Cyberkriminellen. Laut McAfee nutzt eine Kampagne die Popularität der US-amerikanische Schauspielerin und Sängerin Ariana Grande als Köder, um Benutzer dazu zu bringen, ein infiziertes Archiv zu öffnen. Insgesamt hat McAfee „100 einzigartige Exploits und Zählungen“ registriert, die die WinRAR-Schwachstelle zur Infektion von Benutzern genutzt haben.

Im Großen und Ganzen werden diese Angriffe zwangsläufig weitergehen, denn WinRAR ist eine ideale Angriffsfläche – die App hat mehr als 500 Millionen Benutzer, von denen die meisten höchstwahrscheinlich eine veraltete Version ausführen, die von der Schwachstelle betroffen ist.

WinRAR und auch andere Programme betroffen

WinRAR ab Version 5.70 ist gegenüber der 19 Jahre alten Schachstelle geschützt. Mit der Version 5.70 wurde die Unterstützung des ACE-Formats, deren Programmbibliothek unacev2.dll die Schwachstelle enthält, eingestellt.

Nutzer, die keine Aktualisierung durchführen möchten, können auch einfach die fragliche DLL unacev2.dll aus dem WinRAR-Programmverzeichnis löschen. Damit wird das das Risiko ausgeschlossen, sich durch manipulierte ACE-Archive schädlichen Code einzufangen. Nutzer anderer Programme wie Total Commander, die unacev2.dll nutzen, sind von der Schwachstelle ebenfalls betroffen. Die kürzlich veröffentlichte Version 9.22 ist gegenüber der Schwachstelle geschützt. Davon war außerdem nur die 32-Bit-Version betroffen.

Im Februar wurde eine gravierende Sicherheitslücke bei WinRAR bekannt, die schon seit mindestens 14 Jahren existiert. Damit sind alle Nutzer des Programms betroffen, sofern die neueste Aktualisierung nicht installiert wurde. Inzwischen wird die Schwachstelle auch sehr aktiv ausgenutzt.

Die Sicherheitslücke ermöglicht es, Schadsoftware beim Entpacken von Archiven im ACE-Format in den Autostart-Ordner des Betriebssystems abzulegen. Nachdem der Nutzer seinen PC neugestartet hat, wird die dort hinterlegte Software ausgeführt. Ein Angreifer kann somit den Zugriff auf das gesamte System erhalten. Für die Schwachstelle ist ein Bug in der Datei „UNACEV2.DLL“ verantwortlich. Diese wurde seit dem Jahr 2005 nicht mehr überarbeitet.

Exploits in Spiele- und Musikdownloads

Nun hat McAfee darüber berichtet, dass in der Zwischenzeit einige Exploits entwickelt wurden. Die Sicherheits-Software hat in den ersten Wochen nach Veröffentlichung der Lücke über 100 verschiedene, manipulierte Programme entdeckt. Ein sehr großer Anteil der Hacker ver­sucht, den Exploit in Spiele- und Mu­sik­down­loads einzuschleusen. So erhalten die Nutzer nach dem Entpacken eines neuen raub­ko­pier­ten Albums von Ariana Grande nicht ausschließlich die erhofften Songs, sondern auch gleich einen Trojaner mitgeliefert. Schon wenige Tage nach Bekanntmachung waren einzelne Archive im Umlauf, die Backdoors auf den Computern der Nutzer hinterließen.

Da jeder Nutzer beim Entpacken eines Archives Schadsoftware auf dem Rechner verankern könnte, sollte schnellstmöglich auf Version 5.70 gewechselt werden. Diese Version lässt sich über das WinFuture.de-Download-Center herunterladen. Zudem stehen mit ähnlichen Pack­programmen wie 7-Zip Alternativen bereit, die die fehlerhafte DLL-Datei nicht verwenden.

Generell empfiehlt es sich, die UNACEV2.DLL komplett vom Computer zu entfernen. Damit wird verhindert, dass die Exploits bei anderen Programmen zum Einsatz kommen können.

Mit der Freeware ToDoList 7.2.9 des Entwicklers AbstractSpoon Software verwalten Sie anstehende Aufgaben in einer tabellarischen Übersicht und legen auf Wunsch zusätzliche Details wie Prioritäten oder die geschätzte Dauer fest.

Flexible Aufgabenliste

ToDoList benötigt keine Installation und kann daher nach dem Entpacken der heruntergeladenen ZIP-Datei direkt ausgeführt werden. Beim ersten Start führt Sie ein Assistent durch die Konfiguration des Programms.

Unter anderem legen Sie dabei fest, ob das Tool die Windows Registry zum Speichern der Programmeinstellungen verwenden oder diese in eine INI-Datei schreiben soll. Letzteres ermöglicht dann auch den portablen Einsatz der Software.

Neue Aufgaben beziehungsweise Teilaufgaben legen Sie an einer beliebigen Stelle in der Liste an und bestimmen anschließend Details wie die Priorität, den aktuellen Fortschritt, die geschätzte Dauer oder das Fälligkeitsdatum. Eine Erinnerungsfunktion hilft dabei, wichtige Aufgaben nicht zu vergessen. Eine Kommentarfunktion inklusive Rich-Text-Unterstützung ist ebenfalls mit an Bord.

Neben der standardmäßig gewählten Baumansicht bietet ToDoList eine Listen- und Kalenderansicht sowie eine Darstellung der Aufgaben als Balkenplan und Statistik. Eine Sortierfunktion bringt zum Beispiel die wichtigsten oder demnächst fälligen Aufgaben an die Spitze der Liste und natürlich kann diese auch nach bestimmten Begriffen durchsucht werden.

Listen können Sie außerdem in verschiedenen Formaten wie ICS, CSV oder HTML ausgeben und dann beispielsweise mit anderen Programmen weiterverarbeiten. Eine Druckfunktion ist ebenfalls vorhanden. Zudem lassen sich Listen mit anderen Nutzern im lokalen Netzwerk teilen. To-do-Listen für Windows-Rechner

Egal, ob Sie nun größere Projekte planen oder nur kleine Aufgaben festhalten möchten: ToDoList bringt mehr Ordnung in den Alltag. Zwar lassen sich Listen im Netzwerk teilen, eine Freigabe über das Internet oder eine Synchronisation mit Mobilgeräten sind hingegen nicht vorgesehen.

Termine und Aufgaben verwalten Sie alternativ mit der Freeware EssentialPIM, die noch zusätzliche Funktionen wie einen Kalender und E-Mail-Client bietet.

Vor wenigen Wochen Anfang des Jahres hatte das Windows Insider-Team eine Neuerung für Cortana und die Suche für Windows 10 vorgestellt. Dabei wurde in einem 19H1-Build die Benutzeroberfläche neu aufgeteilt, Cortana quasi aus der Suche entfernt und separat in die Taskleiste verfrachtet.

Entsprechend war die Vermutung da, dass diese Änderung allgemein für das kommende Feature-Update geplant ist, das in wenigen Wochen als finale Version erscheinen soll. Nun kommt diese Änderung aber auch für die derzeit aktuelle Windows 10 Version 1809, bekannt als Windows 10 Oktober Update. Aufgefallen ist das dem Autor von Windows Latest, der die Änderung jetzt auch mit 1809 erhalten hat, und zwar wie es aussieht nicht gebunden an ein Software-Aktualisierung für Nutzer, sondern an ein serverseitiges Update.

Windows-Insider-Chefin Dona Sarkar hatte die Trennung der Suche von Cortana vor einiger Zeit bereits angekündigt. Dabei war aber nicht ganz klar, auf welche Windows-Versionen sich diese Änderung bezieht oder ob es ein allgemeiner Schritt sein soll, der für alle derzeit offiziell unterstützten Windows-Versionen gelten soll. Es hieß aber, nicht nur Windows Insider sollen die neue Oberfläche erhalten. Nun ist es wohl soweit, dass auch Nutzer außerhalb des Test-Programms von den Änderungen profitieren.

Die Top Apps

Windows 10 Version 1903 aka 19H1 trennt die Windows Suche von Cortana, beide Funktionen haben ihren eigenen Platz auf dem Desktop bekommen. Dazu gehören für die kommende Windows-Version auch weitere Verbesserungen der Benutzeroberfläche. So sollen häufig verwendete Apps in der Suche mit dem Titel „Top Apps“ angezeigt werden. Die Anzeige ist bereits da, sobald man in das Suchfeld klickt und die Suche geöffnet wird, also bevor man eine Eingabe startet. Man kann über diese Option schnell auf häufig genutzte Anwendungen zugreifen, ohne diese in der Taskleiste zu verknüpfen.