[Technik] Sicherheitslücke in selbstentpackenden WinRAR-Archiven

Der Sicherheitsforscher Mohammad Reza Espargham hat in der aktuellen Version von WinRAR (5.21) eine Schwachstelle entdeckt über die man ein SFX-Archiv mit schädlichem HTML-Code versehen kann. Damit dieser ausgeführt wird, reicht bereits ein Doppelklick auf das betreffende Archiv. Laut Espargham funktioniert dies unter Windows auch mit Benutzerkonten die rechtlich eingeschränkt sind.

Ob die Schwachstelle bereits aktiv ausgenutzt wird, ist seitens Espargham nicht bekannt. Die Schwachstelle wurde mit einem cvss-Wert von 9.2 eingestuft und gilt daher als kritisch. Bisher bietet der Hersteller von WinRAR noch keine neue Version an, in der die Schwachstelle behoben wurde.

Quelle: seclists.org

UPDATE:

Heise hat übrigens beim Hersteller von WinRAR angefragt. Laut diesem handelt es sich hierbei um ein dokumentiertes Merkmal des SFX-Moduls. Daher sehen die Entwickler z. B. auch keinen Grund das Nachladen von Exe-Dateien aus dem Netz zu verhindern. Nutzer müssten halt aufpassen, welche Dateien sie ausführen.

Quelle. Heise.de

 

[Abul]

Wie ist das denn bei einer Archiv.exe die man mittels "Rechtsklick > Hier entpacken" entpackt?

 

[Jester]

Ähem ich will ja nicht moppern, aber man kann auch gleich eine selbststartende Exe in ein Rarsfx packen und die silent ausführen...
Der Umweg über HTML scheint höchstens für Exploit Kits sinnvoll...

Und noch weiter weg: man kann durchaus ein Rarsfx Icon in eine beliebige exe oder dll packen.

 

[Novgorod]

der lustige teil ist ja offenbar, dass der code mit systemrechten ausgeführt wird statt mit userrechten.. aber stimmt schon, wenn man den user eh schon soweit hat, eine exe-datei auszuführen, kann man sein ziel auch mit jedem beliebigen exploit erreichen..

 

[mathmos]

@Jester:

Viele Wege führen nach Rom. Diesen finde ich halt etwas unauffälliger. Wenn ich jetzt mal rein vom mir ausgehe (absolut nicht repräsentativ), entpacke ich solche Archive immer händisch. Hier würde mir eine Exe-Datei schon auffallen (ich gehe jetzt aus dem Bauch heraus mal davon aus, dass solch eine Datei die silent ausgeführt werden soll, beim händischen entpacken normal mit entpackt wird). Geht man den Weg wie im Link beschrieben, würde mir der Payload nicht auffallen. Das würde mir erst dann auffallen, wenn ich die Datei mittels WinRAR direkt öffne, da dann dieser "Kommentar" angezeigt wird. Diesen Weg gehe ich aber ehrlich gesagt selten.

Lange Rede, kurzer Sinn. Das ganze zeigt im Grunde halt nur, dass man selbstentpackenden Archiven allgemein nicht wirklich vertrauen sollte. Zumal hier die Benutzerrechte scheinbar recht egal sind.

Lustig ist auch, dass bei dem PoC Avira anschlägt und das unerwünschte Programm EXP/CVE-2014-6332.B (http://www.securityfocus.com/bid/70952) meldet.

 

[Novgorod]

ich verstehe allerdings nicht, warum packer/entpacker systemrechte brauchen, zumal es von jedem auch portable versionen gibt, die keine systemrechte bekommen und trotzdem problemlos funktionieren..

 

[accC]

Wie soll diese Sicherheitslücke überhaupt behoben werden?

Ist der Gag bei den Selbstentpackenden Archiven nicht gerade der, dass der Empfänger, in dem Fall das Opfer, überhaupt kein Winrar/ Packprogramm braucht?
Dementsprechend braucht lediglich der Angreifer die korrupte Winrar-Version zu verwenden und der wird sich wohl hüten und auf eine Version upgraden, die diesen Angriff nicht mehr zulässt.

Also selbst wenn es einen Patch geben wird, wird damit der Angriff nicht verhindert werden können.
Oder, genauer gesagt: In Zukunft müssen sämtliche selbst entpackenden Winrar-Archive als potentielle Bedrohung angesehen werden.

 

[mathmos]

Es wäre ja schon mal etwas, wenn der Kommentar in dem Feld bei Ausführen überhaupt angezeigt werden würde. Edit: Und wenn beim Ausführen die Benutzerrechte gelten würden.

 

[1Bratwurstbitte]

ich verstehe allerdings nicht, warum packer/entpacker systemrechte brauchen, zumal es von jedem auch portable versionen gibt, die keine systemrechte bekommen und trotzdem problemlos funktionieren..

Ich vermute einfach mal, da du es bei einem selbst entpackenden Archiv mit einer typischen .exe zu tun hast,
wird sich das System direkt Berechtigungen holen, weil es eben eine systemfremde Anwendung ist, die ausgeführt wird.
In einer Anwendung kann ja alles mögliche drin sein, eine Installationsroutine, ein Spiel, ein Bootnetz-Client, ein Injector für Schadcode und und und...
Anwendungen haben meine ich auch deswegen gleich schon ganz andere Rechte als andere Dateitypen, einfach weil sie es brauchen, um vernünftig ausgeführt zu werden.

Wenn du eine portable Version von einem Programm ausführst, ist die Datei ja in der Regel vom Hersteller signiert.
Das gestaltet sich bei Archiven die jeder selbst erstellen kann äußerst schwierig...

Was mich daran interessiert ist der Wortlaut der Meldung,
reicht es nun, dass z.B nur die Attribute der Datei abgerufen werden müssen, indem man sie markiert,
oder muss die Datei erst "ausgeführt", aka. doppelt geklickt werden?

Wenn ersteres zustimmt, ist das ein krasser Exploit!

 

[mathmos]

Laut meinen Tests kann man die Datei problemlos über das Kontextmenü entpacken ohne das etwas passiert. Die Attribute aufrufen usw. sollte daher auch sicher sein. Lediglich das direkte Ausführen sollte man vermeiden.

 

[Pleitgengeier]

Macht heute noch wirklich jemand heruntergeladene exen einfach auf?
Ich suche ja auch nicht mit dem Feuerzeug nach einem Gasleck...


Wenn, dann müssen die AV-Hersteller das einbauen

 

[mathmos]

@Pleitgengeier:

Das war jetzt eine rhetorische Frage oder? Ist doch mir der Nigeria-Connection das gleiche Spiel. Das funktioniert heutzutage auch immer noch.

---

Heise hat übrigens beim Hersteller von WinRAR angefragt. Laut diesem handelt es sich hierbei um ein dokumentiertes Merkmal des SFX-Moduls. Daher sehen die Entwickler z. B. auch keinen Grund das Nachladen von Exe-Dateien aus dem Netz zu verhindern. Nutzer müssten halt aufpassen, welche Dateien sie ausführen.

 

[bevoller]

In Zukunft müssen sämtliche selbst entpackenden Winrar-Archive als potentielle Bedrohung angesehen werden.

Das ist eigentlich auf alle SFX-Archive zutreffend, die scriptfähig sind und generell auf ausführbare Dateien.

ich verstehe allerdings nicht, warum packer/entpacker systemrechte brauchen...

Braucht Winrar üblicherweise nicht. Wobei man das wieder relativieren muss, wenn Wurzelverzeichnisse etc. durch bestimmte Zugriffsrechte wieder so geschützt sind, dass sich das UAC meldet.

 

[Novgorod]

Ich vermute einfach mal, da du es bei einem selbst entpackenden Archiv mit einer typischen .exe zu tun hast,
wird sich das System direkt Berechtigungen holen, weil es eben eine systemfremde Anwendung ist, die ausgeführt wird.
In einer Anwendung kann ja alles mögliche drin sein, eine Installationsroutine, ein Spiel, ein Bootnetz-Client, ein Injector für Schadcode und und und...
Anwendungen haben meine ich auch deswegen gleich schon ganz andere Rechte als andere Dateitypen, einfach weil sie es brauchen, um vernünftig ausgeführt zu werden.

äh dann muss man sich aber explizit als administrator anmelden, eben wie z.b. bei der installation von software etc.. als dummer user wird man so eine exe also garnicht erst ausführen können und ggf. sogar misstrauisch werden, warum man zum entpacken einer datei den admin dazuholen muss ..
und der letzte satz macht übrigens irgendwie wenig sinn - welche rechte brauchen denn "andere dateitypen"? - rechte gibt es nur bei programmen; dateien sind bloß dateien (sind dateien), die alleine nichts tun können.. damit sie mehr "tun" als bloß die festplatte zu verstopfen, brauchst du wiederum programme, die mit den dateien irgendwas anfangen können (und entsprechende rechte für die programme).. du kannst auch eine beliebige exe-datei mit einem hex-editor öffnen und anschauen, ohne irgendwelche speziellen rechte zu haben..

 

[ViktorHim]

Macht heute noch wirklich jemand heruntergeladene exen einfach auf?
Ich suche ja auch nicht mit dem Feuerzeug nach einem Gasleck...


Wenn, dann müssen die AV-Hersteller das einbauen

Das würde nicht funktionieren weil die troja-bauer soweit gehen und die exe in .com umbenennen...

ich habe gerade einen selbstversuch gestartet.
Ein Av programm erkennt es nicht austomatisch wenn die datei auf .com endet und doppelt verpackt ist. Sprich du kannst den Trojaner in der festplatte (mehrmals verpackt in zip/rar)haben ohne es zu merken. Ohne einen Systemcheck wirst du es nicht merken. Gerade gestet mit Nod32, es erkennt es nicht. Es gibt in jedem programm/anwendung Lücken, man muss sie nur wissen....

 

[accC]

Ich vermute einfach mal, da du es bei einem selbst entpackenden Archiv mit einer typischen .exe zu tun hast,
wird sich das System direkt Berechtigungen holen, weil es eben eine systemfremde Anwendung ist, die ausgeführt wird.
In einer Anwendung kann ja alles mögliche drin sein, eine Installationsroutine, ein Spiel, ein Bootnetz-Client, ein Injector für Schadcode und und und...
Anwendungen haben meine ich auch deswegen gleich schon ganz andere Rechte als andere Dateitypen, einfach weil sie es brauchen, um vernünftig ausgeführt zu werden.

Das ist Käse. Ob Systemrechte angefordert werden oder nicht, hängt von der Anwendung ab, denn sie fordert diese Rechte an.
Auch brauchen Anwendungen nicht gleich Systemrechte, nur um ausgeführt werden zu können. Zumal kein komprimiertes, selbstentpackendes Archiv.
Ein selbstentpackendes Archiv muss nämlich zunächst mal nur ein Verzeichnis anlegen und dort rein schreiben dürfen. In aller Regel passiert das im Userspace. Systemrechte oder auch nur Administratorrechte, sind dafür nicht notwendig.
Höhere Rechte (Administrator/ System) braucht es eigentlich nur, wenn entsprechende Bereiche betroffen sind. Also beispielsweise, wenn ein Hardwaretreiber installiert werden soll oder am Windows-System herum gepfuscht werden muss oder oder. Für die meisten Anwendungszwecke reichen allerdings rein Nutzerrechte.

Was mich daran interessiert ist der Wortlaut der Meldung,
reicht es nun, dass z.B nur die Attribute der Datei abgerufen werden müssen, indem man sie markiert,
oder muss die Datei erst "ausgeführt", aka. doppelt geklickt werden?

In der Meldung steht doch explizit Doppelklick (also Ausführen).

 

[ViktorHim]

Das ist Käse. Ob Systemrechte angefordert werden oder nicht, hängt von der Anwendung ab, denn sie fordert diese Rechte an.
Auch brauchen Anwendungen nicht gleich Systemrechte, nur um ausgeführt werden zu können. Zumal kein komprimiertes, selbstentpackendes Archiv.
Ein selbstentpackendes Archiv muss nämlich zunächst mal nur ein Verzeichnis anlegen und dort rein schreiben dürfen. In aller Regel passiert das im Userspace. Systemrechte oder auch nur Administratorrechte, sind dafür nicht notwendig.
Höhere Rechte (Administrator/ System) braucht es eigentlich nur, wenn entsprechende Bereiche betroffen sind. Also beispielsweise, wenn ein Hardwaretreiber installiert werden soll oder am Windows-System herum gepfuscht werden muss oder oder. Für die meisten Anwendungszwecke reichen allerdings rein Nutzerrechte.


In der Meldung steht doch explizit Doppelklick (also Ausführen).

Ist ja das was ich meinte
Du kannst im grunde alles audführen oder ausführen lassen.....

 

[drfuture]

Heise könnte sich irgendwann endlich mal selber Gedanken machen und nicht immer nur 1:1 alles kopieren was so durch die Medien schwirrt...
Meines Erachtens ist das was dort gezeigt wird auf Zig wegen viel einfacher zu bekommen... und ist auf keinen Fall eine Sicherheistlücke (im eigentlichen Sinne)

Lt. dem Perl-Code wird eine Webseite erzeugt die (da lokal ausgeführt) über div. scripte die Möglichkeit hat eine putty.exe "nachzuladen" und diese theo. natürlich auch zu starten. (Klar im Beispiel nur Putty - aber Theo. jede andere Exe....)
Das nun *irgendwas* nachgeladen und gestartet werden kann wird hier angeprangert.

NICHT das irgendwas im Systemkontext ausgeführt werden kann!! (Zumindest kann ich das nirgends finde - weder im Proof of concept noch sonst wo). Wenn nun etwas gefährliches nachgeladen werden "würde" - müsste das noch immer Schadcode sein der ein Exploit nutzt um in das System zu kommen. Oder dann würde beim ausführen Adminrechte angefordert werden... oder ein Scanner schlägt an.

Also im Ergebnis bin ich da bei Winrar ... sehe da keine Sicherheitslücke.


Ganz davon abgesehen selbst wenn es da in der Version beim ERSTELLEN eine Lücke gäbe - wie denn bitte patchen?
Der Entpackungs-Mechanismus wird ja in die .exe gepackt >> mit ausgeliefert.
Wenn es nun eine Neue version ohne die "Lücke" gibt - was hellt dann die pöösen Jungs davon ab die Version mit der "Lücke" zu benutzen?

 

[Novgorod]

Das nun *irgendwas* nachgeladen und gestartet werden kann wird hier angeprangert.

und das ist extrem un-beeindruckend.. ein "infiziertes" programm lädt ein anderes programm nach? - wozu dann die mühe mit dem winrar-entpacker statt den virus direkt auszuliefern, zumal das opfer ja schon den doppelklick gemacht hat (ggf. "gejoinert" mit einem echten selbstentpackenden archiv um nicht aufzufallen)? .. wenn das schon als "sicherheitslücke" in winrar gilt, dann gibt es sie auch z.b. in jedem C-compiler: man kann damit schadsoftware herstellen ..

 

[Kaesereibe]

Zu welchen Anlässen lädt man überhaupt noch selbstentpackende Archive herunter?

Das hinterlässt bei mir irgendwie son einen 2000er Nostalgie-Beigeschmack.