ClickCease WinRAR-Fehler entlarvt russische und chinesische Bedrohungsakteure

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

WinRAR-Fehler entlarvt russische und chinesische Bedrohungsakteure

Wajahat Raja

2. November 2023. TuxCare Expertenteam

In jüngster Zeit haben Sicherheitsexperten eine Zunahme von Cyber-Bedrohungen festgestellt, die mit der Ausnutzung einer bekannten Sicherheitslücke zusammenhängen, CVE-2023-38831in WinRAR, einem weit verbreiteten Dateiarchivierungstool für Windows. Diese Cyber-Bedrohungen gehen sowohl von russischen als auch von chinesischen Hackergruppen aus, die von der Regierung unterstützt werden, was die Dringlichkeit aufmerksamer Cyber-Sicherheitsmaßnahmen unterstreicht. In diesem Blog befassen wir uns mit den Details dieser WinRAR-Schwachstelle und erörtern, wie Sie Ihre Systeme vor dieser Schwachstelle schützen können.

 

Verständnis des WinRAR-Fehlers


CVE-2023-38831 ist eine logische
Sicherheitslücke in WinRAR die es Angreifern ermöglicht, beliebigen Code auszuführen, wenn ein Benutzer versucht, eine harmlose Datei innerhalb eines ZIP-Archivs zu öffnen. Diese Sicherheitslücke wurde Anfang 2023 bekannt und wurde zunächst von Cyberkriminellen ausgenutzt, die sich die Tatsache zunutze machten, dass die Verteidiger nichts davon wussten. RARLabs, das Unternehmen, das hinter WinRAR steht, veröffentlichte im August 2023 eine aktualisierte Version der Software, die dieses Problem behebt. Viele Benutzer sind jedoch weiterhin anfällig, da sie ihre Software noch nicht aktualisiert haben.

Die Schwachstelle liegt in der Art und Weise begründet, wie WinRAR bei der Verarbeitung speziell gestalteter Archive mit der Erweiterung temporärer Dateien umgeht. Wenn ein Benutzer versucht, eine Datei in einem Archiv anzuzeigen, sucht WinRAR nach dem entsprechenden Verzeichnis und extrahiert sowohl die ausgewählte Datei als auch die Dateien in diesem Verzeichnis an einen temporären Speicherort. Während dieses Vorgangs normalisiert WinRAR die Dateipfade und entfernt angehängte Leerzeichen. Eine Eigenheit in der Funktionsweise von Windows' ShellExecute macht das Problem jedoch noch komplexer.

Wenn WinRAR ShellExecute aufruft, gibt es einen Pfad mit einem Leerzeichen am Ende an, um die vom Benutzer ausgewählte Datei zu öffnen. ShellExecute versucht, Dateierweiterungen zu erkennen, und wenn es auf ein Leerzeichen in der Erweiterung stößt, verwendet es eine Standardsuchlogik, um die ausführbare Datei zu identifizieren. Dies ist der Kern des Problems. Das Vorhandensein eines Leerzeichens an beliebiger Stelle in der Dateierweiterung kann die Sicherheitslücke auslösen und zur unbeabsichtigten Ausführung von Code führen.


Auswirkungen und Verwertungsmöglichkeiten


Die Ausnutzung von CVE-2023-38831 hat schwerwiegende Folgen. Wie in einem Blog-Beitrag von Group-IB dargelegt, haben Cyberkriminelle
WinRAR-Schwachstellen ausgenutzt als Zero-Dayausgenutzt, lange bevor die Öffentlichkeit davon erfuhr. Sie nutzten sie, um Kampagnen zu starten, die auf Finanzhändler abzielten und verschiedene Malware-Familien verbreiteten. Erschwerend kam hinzu, dass kurz nach Bekanntwerden der Schwachstelle Proof-of-Concept- und Exploit-Generatoren in öffentlichen Repositories zur Verfügung gestellt wurden, was es böswilligen Akteuren erleichterte, mit der Schwachstelle zu experimentieren.


Kampagnen von Bedrohungsakteuren


Es wurden zahlreiche Kampagnen gestartet, die auf den Ernst der Lage hinweisen:

  1. FROZENBARENTS zielen auf den Energiesektor ab: Diese Gruppe, die angeblich mit der Hauptdirektion des Generalstabs der russischen Streitkräfte verbunden ist, hatte es auf den Energiesektor abgesehen. Sie verwendeten eine E-Mail-Kampagne, die sich als ukrainische Schule für Drohnenkriegsführung ausgab. Die E-Mail enthielt einen Link zu einer bösartigen ZIP-Datei, die CVE-2023-38831 ausnutzte. Die Nutzlast enthielt einen Rhadamanthys-Infostealer, der vertrauliche Informationen sammeln kann und überraschenderweise normalerweise von Cyberkriminellen eingesetzt wird.
  2. FROZENLAKE und ukrainische Regierungsorganisationen: FROZENLAKE, das dem russischen GRU zugeschrieben wird, hatte es auf ukrainische Regierungsorganisationen abgesehen. Sie nutzten einen kostenlosen Hosting-Anbieter, um CVE-2023-38831 an ihre Opfer zu verteilen. Diese Kampagne nutzte eine gefälschte Veranstaltungseinladung als Köder, um Malware für die Energieinfrastruktur zu liefern.
  3. ISLANDDREAMS zielt auf Papua-Neuguinea: Diese Kampagne, die Berichten zufolge von von der chinesischen Regierung unterstützten Gruppen orchestriert wurde, zielte auf Papua-Neuguinea ab. Sie verwendeten eine Phishing-E-Mail mit einem Dropbox-Link, der die Schwachstelle CVE-2023-38831 enthielt. Die Nutzlast, ISLANDSTAGERist eine .NET-Backdoor, die die API von Dropbox als Kommunikationsmechanismus nutzt.

Gelernte Lektionen


Die weit verbreitete Ausnutzung der
WinRAR-Sicherheitslücke unterstreicht, wie wichtig es ist, mit Software-Patches auf dem neuesten Stand zu bleiben. Selbst die raffiniertesten Angreifer werden bekannte Schwachstellen ausnutzen, und es obliegt den Benutzern und Unternehmen, ihre Systeme zu schützen. Es reicht nicht aus, nur von einer Schwachstelle zu wissen, sondern es ist wichtig, schnell zu handeln und Patches zu installieren.


Absicherung Ihrer Systeme


Der Schutz Ihrer Systeme vor solchen Bedrohungen erfordert einen proaktiven Ansatz:

 

  1. WinRAR aktualisieren: Der erste und wichtigste Schritt besteht darin, sicherzustellen, dass Ihre WinRAR-Installation auf die neueste Version aktualisiert ist. RARLabs hat veröffentlicht WinRAR-Sicherheitslücken-Patches veröffentlicht, um diese Schwachstelle zu beheben, und die Aktualisierung Ihrer Software ist der effektivste Weg, sich zu schützen.
  2. Üben Sie wachsame Cyber-Hygiene: Seien Sie vorsichtig, wenn Sie Anhänge oder Links in E-Mails öffnen, insbesondere wenn sie unerwartet sind oder von unbekannten Quellen stammen. Cyberkriminelle nutzen oft Social Engineering, um Benutzer zum Ausführen bösartiger Dateien zu verleiten.
  3. Nutzen Sie Sicherheitstools: Ziehen Sie den Einsatz von Sicherheitstools wie Google Safe Browsing und Gmail in Erwägung, die dabei helfen können, Dateien mit bekannten Sicherheitslücken zu blockieren. Diese Tools dienen als zusätzliche Verteidigungsschicht gegen Bedrohungen.
  4. Implementierung einer soliden Patch-Management-Strategie: Unternehmen sollten über eine gut definierte Patch-Management-Strategie verfügen. Prüfen Sie regelmäßig, ob Software-Updates und Patches verfügbar sind, und spielen Sie diese umgehend auf alle relevanten Systeme auf.
  5. Benutzerschulung: Informieren Sie Ihr Team über die Bedeutung rechtzeitiger Software-Updates und bewährter Verfahren für die Cybersicherheit. Die Benutzer sind oft die erste Verteidigungslinie gegen Cyber-Bedrohungen.
  6. Überwachung und Reaktion auf Zwischenfälle: Implementieren Sie robuste Überwachungssysteme und erstellen Sie einen Plan für die Reaktion auf Zwischenfälle. Die Fähigkeit, eine Sicherheitsverletzung zu erkennen und darauf zu reagieren, ist entscheidend für die Begrenzung des potenziellen Schadens.

Schlussfolgerung


Die jüngsten Sicherheitslücken im Zusammenhang mit WinRAR erinnern uns daran, dass selbst bekannte Schwachstellen eine erhebliche Gefahr darstellen können. Cyberkriminelle und staatlich unterstützte Akteure nutzen diese Schwachstellen schnell aus, weshalb schnelles Handeln unerlässlich ist. Auf dem Laufenden bleiben,
Sicherung der WinRAR-Software durch Updates und die Anwendung von aufmerksame Cybersicherheitspraktiken sind der Schlüssel zum Schutz Ihrer Systeme.

In dem Maße, wie sich diese Bedrohungen weiterentwickeln, müssen auch unsere Verteidigungsmaßnahmen angepasst werden, und die Aufrechterhaltung eines proaktiven und informierten Ansatzes zur Cybersicherheit ist von größter Bedeutung. Angesichts dieser Herausforderungen ist die Sicherheitsgemeinschaft weiterhin bestrebt, Informationen über Bedrohungen auszutauschen, aber die Verantwortung für die Sicherheit unserer Systeme liegt letztendlich bei den Benutzern und Organisationen. Bleiben Sie sicher, bleiben Sie sicher.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Google.

Zusammenfassung
WinRAR-Fehler entlarvt russische und chinesische Bedrohungsakteure
Artikel Name
WinRAR-Fehler entlarvt russische und chinesische Bedrohungsakteure
Beschreibung
Entdecken Sie, wie russische und chinesische Bedrohungsakteure die WinRAR-Schwachstelle ausnutzen. Bleiben Sie wachsam und sicher mit diesen Erkenntnissen über kritische Sicherheitslücken.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter