WinRAR-Schwachstelle wird aktiv ausgenutzt

Das hat Sicherheitsspezialist McAfee herausgefunden. Die 19 Jahre unentdeckte Schwachstelle befindet sich in unacev2.dll, das zum Entpacken von ACE-Archiven genutzt wird.

Die im Februar entdeckte Schwachstelle, die fast alle in den letzten 19 Jahren veröffentlichten WinRAR-Versionen betrifft, ist für viele Cyberkriminelle im Laufe des letzten Monats zum begehrten Angriffspunkt geworden. Das geht aus einer Untersuchung des Sicherheitsspezialisten McAfee hervor. McAfee hat mehrere Kampagnen in den vergangenen Wochen entdeckt, bei denen Cyberkriminelle-Gruppen und möglicherweise einige nationalstaatliche Hacker versucht haben, die WinRAR-Schwachstelle auszunutzen.

Die Schwachstelle wurde am 20. Februar von Sicherheitsforschern des Cybersicherheitsunternehmens Check Point öffentlich bekannt gegeben. Ein Angreifer kann damit ACE-Archive erstellen, die, wenn sie mit der WinRAR-App entpackt werden, bösartigen Code in einem Computersystem verankert.

Nach Angaben von Check Point könnten Angreifer diese Schwachstelle (CVE-2018-20250) nutzen, um Malware im Windows-Start-Ordner zu platzieren, wo sie nach jedem Systemneustart automatisch ausgeführt wird.

Laut McAfee ist diese potentielle Gefahr nun Realität geworden. Innerhalb von einer Woche nach Bekanntwerden der Lücke begannen Hackergruppen, die Schwachstelle auszunutzen, um Backdoor-Trojaner auf den Computern der Benutzer zu platzieren.

Die Spam-Kampagnen wurden nach der ersten Variante fortgesetzt und diversifiziert, um verschiedene Malware-Nutzlasten zu verteilen, wobei verschiedene Köder verwendet wurden, die von technischen Dokumenten bis hin zu Nacktbilder von Prominenten reichen.

Bösartige Archive, die versuchten, den WinRAR-Fehler auszunutzen, wurden einen Tag vor dem zweiten Donald Trump und Kim Jong-un-Gipfel, der Ende Februar in Vietnam stattfand, auch an südkoreanische Regierungsbehörden geschickt.

Während bislang Sicherheitsforscher keine Verbindungen zu staatlichen Hacking-Gruppen bestätigte, stimmte das Timing und das Targeting mit nationalstaatlichen Hacking-Aktionen überein.

Aber dies war nicht das einzige Ereignis, bei dem politisch thematische Spear-Phishing-Kampagnen mit dem WinRAR-Exploit registriert wurden. Laut McAfee gab es mindestens noch zwei weitere.

Die erste benutzte ein Thema über ein ukrainisches Gesetz, um die Opfer dazu zu bringen, ein bösartiges Archiv zu entpacken, das den WinRAR-Fehler ausnutzt. Und dann gab es noch eine zweite Kampagne, die mit einem Köder über die Vereinten Nationen und die Menschenrechte Nutzer im Nahen Osten adressierte.

Beides seien sehr gezielte Angriffe und höchstwahrscheinlich die Arbeit von Geheimdiensten, die sich mit Cyberspionage beschäftigen.

Doch auch Privatnutzer geraten ins Visier der Cyberkriminellen. Laut McAfee nutzt eine Kampagne die Popularität der US-amerikanische Schauspielerin und Sängerin Ariana Grande als Köder, um Benutzer dazu zu bringen, ein infiziertes Archiv zu öffnen. Insgesamt hat McAfee „100 einzigartige Exploits und Zählungen“ registriert, die die WinRAR-Schwachstelle zur Infektion von Benutzern genutzt haben.

Im Großen und Ganzen werden diese Angriffe zwangsläufig weitergehen, denn WinRAR ist eine ideale Angriffsfläche – die App hat mehr als 500 Millionen Benutzer, von denen die meisten höchstwahrscheinlich eine veraltete Version ausführen, die von der Schwachstelle betroffen ist.

WinRAR und auch andere Programme betroffen

WinRAR ab Version 5.70 ist gegenüber der 19 Jahre alten Schachstelle geschützt. Mit der Version 5.70 wurde die Unterstützung des ACE-Formats, deren Programmbibliothek unacev2.dll die Schwachstelle enthält, eingestellt.

Nutzer, die keine Aktualisierung durchführen möchten, können auch einfach die fragliche DLL unacev2.dll aus dem WinRAR-Programmverzeichnis löschen. Damit wird das das Risiko ausgeschlossen, sich durch manipulierte ACE-Archive schädlichen Code einzufangen. Nutzer anderer Programme wie Total Commander, die unacev2.dll nutzen, sind von der Schwachstelle ebenfalls betroffen. Die kürzlich veröffentlichte Version 9.22 ist gegenüber der Schwachstelle geschützt. Davon war außerdem nur die 32-Bit-Version betroffen.