[Technik] Sicherheitslücke in selbstentpackenden WinRAR-Archiven

Der Sicherheitsforscher Mohammad Reza Espargham hat in der aktuellen Version von WinRAR (5.21) eine Schwachstelle entdeckt über die man ein SFX-Archiv mit schädlichem HTML-Code versehen kann. Damit dieser ausgeführt wird, reicht bereits ein Doppelklick auf das betreffende Archiv. Laut Espargham funktioniert dies unter Windows auch mit Benutzerkonten die rechtlich eingeschränkt sind.

Ob die Schwachstelle bereits aktiv ausgenutzt wird, ist seitens Espargham nicht bekannt. Die Schwachstelle wurde mit einem cvss-Wert von 9.2 eingestuft und gilt daher als kritisch. Bisher bietet der Hersteller von WinRAR noch keine neue Version an, in der die Schwachstelle behoben wurde.

Quelle: seclists.org

UPDATE:

Heise hat übrigens beim Hersteller von WinRAR angefragt. Laut diesem handelt es sich hierbei um ein dokumentiertes Merkmal des SFX-Moduls. Daher sehen die Entwickler z. B. auch keinen Grund das Nachladen von Exe-Dateien aus dem Netz zu verhindern. Nutzer müssten halt aufpassen, welche Dateien sie ausführen.

Quelle. Heise.de

 

[Pleitgengeier]

Zu welchen Anlässen lädt man überhaupt noch selbstentpackende Archive herunter?

Wenn man den PC einer verhassten Person mit entsperrtem Windows in deren Abwesenheit vorfindet und in möglichst kurzer Zeit möglichst viel Schadsoftware installieren will.

 

[accC]

und das ist extrem un-beeindruckend.. ein "infiziertes" programm lädt ein anderes programm nach? - wozu dann die mühe mit dem winrar-entpacker statt den virus direkt auszuliefern, zumal das opfer ja schon den doppelklick gemacht hat (ggf. "gejoinert" mit einem echten selbstentpackenden archiv um nicht aufzufallen)?

@drfuture, Novgorod: Das ist sehr kurzsichtig von euch beiden.
Die Frage ist doch, wie man Schadware verbreitet und letztlich auf den Rechner des Opfers bekommt.
Bei euren Szenarien wollt ihr die Malware direkt verbreiten. Das hieße aber dass jeder, der in das Paket rein schaut, sieht, dass es sich um Malware handelt. Ob das der Cloud-Hoster ist, das Downloadportal oder eben der lokale Virenscanner. Malware entdeckt, Malware beseitigt.
In diesem Szenario ist es jedoch möglich Malware-freie "trusty" Archive zu verbreiten, die erst beim Ausführen auf dem Client-PC die Malware - und dann ggf. sogar in der letzten verfügbaren Version - nachladen. Von einem Virenscanner kann, bis zu diesem Zeitpunkt überhaupt nichts gefunden werden, da das Archiv selbst eben vollkommen frei von jeglicher Malware ist.

Ganz davon abgesehen selbst wenn es da in der Version beim ERSTELLEN eine Lücke gäbe - wie denn bitte patchen?
Der Entpackungs-Mechanismus wird ja in die .exe gepackt >> mit ausgeliefert.
Wenn es nun eine Neue version ohne die "Lücke" gibt - was hellt dann die pöösen Jungs davon ab die Version mit der "Lücke" zu benutzen?

Die Problematik habe ich doch ebenfalls angesprochen. Patches werden das Problem nicht mehr beheben können.

 

[Novgorod]

Von einem Virenscanner kann, bis zu diesem Zeitpunkt überhaupt nichts gefunden werden, da das Archiv selbst eben vollkommen frei von jeglicher Malware ist.

richtig, die malware wird gefunden, wenn sie nachgeladen und ausgeführt wird .. eine email mit einem malware-link enthält selbst ebenfalls keine malware und würde den virenscanner nicht interessieren bis man auf den link klickt.. und ich glaube nicht, dass es sinnvoll ist, mit aktualität zu argumentieren.. ja, das nachladen beim ausführen garantiert, dass die aktuellste version der malware geladen wird, während eine direkt verbreitete/kopierte malware immer dieselbe version hat - allerdings werden die urls, von denen was nachgeladen wird, relativ schnell geblacklistet, sobald es bekannt wird (und die "infizierten" archive werden ihre nachlade-urls ja nicht ändern), und außerdem verbreitet sich eine schlaue malware nicht, indem sie sich einfach kopiert, sondern indem sie aktuelle versionen nachlädt und diese weiterspammt o.ä.. zum anderen hast du erwähnt, dass man erstmal ins paket "reinschaut" - das tun jedoch nur diejenigen, die von vornherein keine selbstentpackenden archive nutzen wollen, weil sie die software installiert haben und diese ja gerade nutzen, um ins archiv zu "schauen" und es dann gleich zu entpacken (wozu sonst reinschauen?).. diese winzige minderheit an usern fängt sich normalerweise keine viren ein und ist somit für die virenmacher nicht werberelevant, wie es so schön heißt.. sobald also das archiv mit der richtigen rar-software statt mit dem selbstentpacker geöffnet wird, ist der angriff vorbei (und gescheitert) - oder wie wahrscheinlich ist es, dass jemand das archiv mit der rar-software öffnet, um zu prüfen, dass es wirklich ein archiv ist, dann aber die rar-software wieder zumacht und den selbstentpacker nutzt? der angreifer muss darauf hoffen, dass dem selbstentpacker von vornherein vertraut wird (was zum doppelklick führt), und in dem fall kann er auch gleich die malware direkt ausliefern und plump mit dem rar-icon versehen oder mit einem beliebigen anderen programm tarnen ("joinern")..

es gibt in dem szenario doch nur 2 möglichkeiten:
1. die nachgeladene malware gibt sich irgendwie zu erkennen, sei es über eine aufforderung, ihr adminrechte zu geben oder weil sie vom virenscanner erkannt wird - in diesem fall ist es egal, ob sie per url nachgeladen wird oder direkt verbreitet wird..
2. die malware holt sich adminrechte über exploits und ist keinem virenscanner bekannt - dann ist es ebenfalls egal, ob man sie direkt startet (in der hoffnung, die exe-datei ist das, was die spam-email verspricht ) oder ob man (sinngemäß) ein anderes programm startet, was wiederum die malware startet.. dann kann die malware auch (wie erwähnt) mit dem echten selbstentpackenden archiv gejoinert werden und man merkt nichts davon, weil das archiv ja das tut was es soll, auch ganz ohne den rar-"exploit"..

 

[accC]

eine email mit einem malware-link enthält selbst ebenfalls keine malware und würde den virenscanner nicht interessieren bis man auf den link klickt..

Das ist korrekt, bis auf.. die Tatsache, dass du Malware in der Regel als Mailanhang mitreichst und da schlägt gewöhnlich der Virenschutz deines Mailproviders an.

richtig, die malware wird gefunden, wenn sie nachgeladen und ausgeführt wird ..

Wird sie? (Video unten)

ja, das nachladen beim ausführen garantiert, dass die aktuellste version der malware geladen wird, während eine direkt verbreitete/kopierte malware immer dieselbe version hat - allerdings werden die urls, von denen was nachgeladen wird, relativ schnell geblacklistet, sobald es bekannt wird (und die "infizierten" archive werden ihre nachlade-urls ja nicht ändern), und außerdem verbreitet sich eine schlaue malware nicht, indem sie sich einfach kopiert, sondern indem sie aktuelle versionen nachlädt und diese weiterspammt o.ä..

Wo/ wie genau willst du die URLs "sperren"?

zum anderen hast du erwähnt, dass man erstmal ins paket "reinschaut" - das tun jedoch nur diejenigen, die von vornherein keine selbstentpackenden archive nutzen wollen, weil sie die software installiert haben und diese ja gerade nutzen, um ins archiv zu "schauen" und es dann gleich zu entpacken

Jein, die Aussage stimmt so nicht ganz. Jeder etwas bessere Virenschutz scannt auch Archivinhalte und schaut "automatisiert" ins Archiv. Das heißt, jeder Virenschutz ist potentiell in der Lage die im Archiv enthaltene Malware zu erkennen und ggf. auch zu entfernen. Also beispielsweise dein Mailprovider, wenn du mal wieder ein Inkassoschreiben mit Rechnung.exe bekommst, dein Cloudhoster, wenn du mal wieder the-fappening-1.10.2015.exe aus der Cloud lädst oder oder.


Sempervideo hat dazu übrigens ein Video gemacht, im ersten Teil wird gezeigt, wie die Lücke prinzipiell funktioniert, im zweiten Teil, wie es möglich ist auch ohne Nutzerbestätigung die Lücke auszunutzen.

 

[drfuture]

Öhm - diese tolle Payload.exe wird ja auch vorher nirgends erkannt... (Bei mit Nachfrage) ... im Original Beispiel aus der Security-Liste wird ja auch einfach die putty.exe nachgeladen... warum sollte das auch ein Virenscanner erkennen?
Das ist ja zum einen das Argumentierte Feature von Winrar (Und nebenbei von eben von vielen anderen Packern - oder einfach normalen setup.exe oder was auch immer - auch in einer .msi kann ich dynamisch pakete (z.B. Updates) zur Installationszeit nachladen - das ist gewollt.

 

[accC]

Richtig, ggf. wäre es toll, wenn Dateien nachgeladen werden können, sofern man das wirklich braucht.

Wenn ich allerdings ein Archiv mit katzenbilder_{0-99}.jpg lade, dann erwarte ich doch, dass da Katzenbilder drin sind und nicht, dass im Hintergrund irgendwelche Dateien nachgeladen oder Ports geöffnet werden oder sonst irgendetwas passiert.

 

[drfuture]

Dann ist die Fehlerbehebung für Rarlabs also eine Checkbox einzubauen *ja ich brauche nachgeladene Dateien wirklich* ... und die dürfen böse Hacker einfach nicht klicken

 

[Novgorod]

Das ist korrekt, bis auf.. die Tatsache, dass du Malware in der Regel als Mailanhang mitreichst und da schlägt gewöhnlich der Virenschutz deines Mailproviders an.

also wenn wir schon äpfel mit birnen vergleichen, dann richtig - selbstentpackende rar-archive werden wohl kaum per email verschickt, sondern sind praktisch immer externe downloads im web oder p2p (allein schon wegen der größe), also vergleichbar mit bösen malware-links in emails oder wo auch immer..

Wo/ wie genau willst du die URLs "sperren"?

wenn malwareschleudern nicht direkt von deren ISPs/hostern gesperrt werden, dann z.b. per firewall (weniger im privaten sektor aber sicher in größeren firmennetzen o.ä.) oder durch den "internetschutz" des antivirenprogramms (was zwar der letzte mist ist, aber von DAUs, die sich viren einfangen, immer häufiger ungewollte mitinstalliert wird)..

Jein, die Aussage stimmt so nicht ganz. Jeder etwas bessere Virenschutz scannt auch Archivinhalte und schaut "automatisiert" ins Archiv. Das heißt, jeder Virenschutz ist potentiell in der Lage die im Archiv enthaltene Malware zu erkennen und ggf. auch zu entfernen.

ahm, das hab ich doch schon im letzten post gesagt.. entweder der virenscanner schlägt an - dann ist es egal, ob die malware direkt ausgeführt wird oder per script nachgeladen und dann ausgeführt wird; oder der virenscanner erkennt die malware nicht - dann ist es ebenfalls egal, ob die malware erst nachgeladen wird oder sich direkt als archiv.exe (52kB) mit winrar-icon tarnt.. ich verstehe immernoch nicht, welchen realen vorteil es dem 1337-hax0r bringt, die malware umständlich über einen selbstentpacker nachzuladen - wenn er jemanden dazu bringt, seinen selbstentpacker auszuführen, sind die chancen nahe 100%, dass das opfer die malware.exe auch direkt ausführen würde..

 

[accC]

also wenn wir schon äpfel mit birnen vergleichen, dann richtig - selbstentpackende rar-archive werden wohl kaum per email verschickt, sondern sind praktisch immer externe downloads im web oder p2p (allein schon wegen der größe), also vergleichbar mit bösen malware-links in emails oder wo auch immer..

Das prekäre ist, dass du solche Pakete theoretisch auch auf Downloadportale wie chip.de o.ä. bringen kannst. Dort werden automatisierte Virenscans die Datei(en) als sauber identifizieren und die ganzen DAUs laden sich zertifiziert und garantiert virenfreie SFX Archive herunter, die dann Viren nachladen.

dann z.b. per firewall (weniger im privaten sektor aber sicher in größeren firmennetzen o.ä.)

Im privaten Bereich habe ich noch niemanden gesehen, der insbesondere selbstständig über die Firewall Websites blockiert hat.
Damit meine ich nicht nur DAUs, sondern durchaus auch Nerds, denen man noch die Fähigkeit dazu zutrauen würde.
Ich kenne auch niemanden, der explizit und selbstständig derartige Listen pflegt. Mal abgesehen von den Malware-Sites, die man als Adblock-Filterliste aktivieren kann und selbst da kenne ich kaum Leute, die die aktiv einsetzen.

 

[Novgorod]

du weißt aber schon, dass sich auf "downloadportalen wie chip.de" bereits lauter "zertifizierte und garantiert virenfreie" installer befinden, die ggf. während der installation irgendwas nachladen, was nicht von chip.de & co. gescannt wurde .. man kann seine malware von einem x-beliebigen installer nachladen lassen (dem der anbieter und user offenbar vertraut) - wie unterscheidet sich das von den SFX-archiven, die im grunde nichts anderes tun?

und ja, URL-blacklisting wird man eher in größeren netzen finden als im privaten bereich, das hast du sogar zitiert.. zumal die "nerds, denen man diese fähigkeit zutraut" so etwas garnicht brauchen, weil da die brain.exe in der regel umfassenden schutz bietet..