Iranischer Sicherheitsforscher entdeckt Zero Day Lücke in WinRAR
Laut einem Bericht des Onlinemagazins Computerworld hat der iranische Sicherheitsforscher Reza Espargham einen Fehler in der aktuellen WinRAR Version 5.21 entdeckt. Die Zero Day Lücke erlaubt das Einschleusen von Schadcodes und deren gesteuerte Ausführung.
Wie das Vulnearability Lab in einer Detailauswertung berichtet, vermutet Espargham, dass neben der aktuellen Version auch ältere WinRAR Packages betroffen sind. Als Ergebnis könnten weltweit rund 500 Millionen Nutzer von dem Sicherheitsleck betroffen sein.
WinRAR wiegelt ab
WinRAR scheint mit dem Sicherheitsleck keine großen Probleme zu haben und weist die Bedenken der Sicherheitsforscher zurück. Die Lücke entsteht in sich selbst extrahierenden Archiven. Der Schadcode kann nach dem Einschleusen durch die Konfigurierung der Archive beim Entpacken aktiv werden.
WinRAR sieht darin kein Sicherheitsrisiko, das weitere Aktionen erfordert. Die Anfälligkeit von SFX Archiven sei sowohl den Sicherheitsexperten als auch Hackern bekannt, die jederzeit ein beliebiges Archiv angreifen und manipulieren könnten. Und da ausführbare Dateien ein großes Gefährdungspotenzial in sich tragen, sollten sie nur ausgeführt werden, wenn die Quellen vertrauenswürdig sind.
„Die ausführbaren SFX Dateien sind potentiell genauso gefährlich, wie alle .exe Dateien“ bemerkt der Sprecher von WinRAR im Kommentar zur Warnung des israelischen Sicherheitsforschers und beendet damit die Diskussion mit Vulnerability Lab.
Computerworld zeigt Videobeweis für manipulierbare Dateien
Computerworld hat von Reza Espargham den Beweis für die Gefährlichkeit von manipulierten SFX Dateien erhalten. Im Testlauf wurde ein Beispielcode nur ganz leicht verändert und daraus ein Exploit entwickelt. Daraus entwickelte sich ein HTML Code, der auf jedem beliebigen Rechner, dessen Nutzer das entsprechende Archiv öffnet, ausgeführt wird und dort massiven Schaden anrichten kann.
Trotz der Warnungen durch das Vulnerability Lab plant WinRAR kein Patch, um die Lücke zeitnah zu schließen. Laut Unternehmen wird durch ein Patch die Funktionalität der HTML Codes in SFX Archiven eingeschränkt. Da auch ältere Versionen betroffen sind, könnten Hacker jederzeit darauf zurückgreifen und darüber die Schadcodes einschleusen.