WinRAR als Einfallstor für Windows-Schadsoftware (Sicherheit)
Die besonders unter Jugendlichen populäre Windows-Software „WinRAR“ zum Auspacken von komprimierten Archiven im proprietären RAR-Format schleppt anscheinend seit 19 Jahren eine Sicherheitslücke mit sich herum, die mittlerweile hundertfach ausgenutzt wird.
WinRAR erlaubt das Extrahieren mit absoluten Pfadangaben. Beim Entpacken eines „im Internet gefundenen“ Spiels oder Videos lässt sich dadurch Software im Autostart-Ordner des angemeldeten Benutzers (C:\Users\Benutzername\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) oder, mit den entsprechenden Rechten ausgeführt, im Autostart-Ordner aller Benutzer des zu befallenden Windows-PCs (C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp) ablegen. Alle Programme in diesen Ordnern werden direkt nach der Anmeldung des Opfers ungefragt ausgeführt.
Für gewöhnliche Windowsnutzer ist das nicht erkennbar, weil der Windows-Explorer diese Ordner vor ihnen versteckt hält.
Abhilfe schafft der Wechsel auf eine aktuelle WinRAR-Version (≥ 5.70) oder die Verwendung eines anderen Archivverwaltungsprogramms.
Quellen
Slashdot: 19-Year-Old WinRAR Vulnerability Leads To Over 100 Malware Exploits
McAfee: Attackers Exploiting WinRAR UNACEV2.DLL Vulnerability (CVE-2018-20250)
Check Point Research: Extracting a 19 Year Old Code Execution from WinRAR
--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums
Bücher:
CAD mit BricsCAD
Bauinformatik mit Python