Vorsicht! WinRAR Sicherheitslücke PoC aufgedeckt
Ein Hacker veröffentlichte kürzlich a gefälschten Proof-of-Concept (PoC) Exploit für eine bereits gepatchte WinRAR-Schwachstelleveröffentlicht, was eine besorgniserregende Enthüllung ist. Das Ziel dieser böswilligen Operation war es ahnungslose Downloader mit dem berüchtigten VenomRAT-Virus zu infizieren. Obwohl die unmittelbare Bedrohung entschärft wurde, zeigt dieser Vorfall die Risiken auf, die entstehen, wenn PoCs von Diensten wie GitHub ohne ausreichende Sicherheitsprüfung akzeptiert werden.
Entdeckung des Fake PoC
Der gefälschte PoC-Exploit wurde von Cybersecurity-Experten des Unit 42-Teams von Palo Alto Networks entdeckt. Auf 21. August 2023hat der Angreifer diesen bösartigen Code auf GitHub veröffentlicht. Der Versuch wurde glücklicherweise vereitelt, aber die Episode dient als klare Erinnerung an die Risiken, die mit ungeprüften PoCs verbunden sind.
Der gefälschte PoC nutzte die Sicherheitslücke CVE-2023-40477aus, die die Ausführung von beliebigem Code ermöglichte, wenn angepasste RAR-Dateien in WinRAR-Versionen vor 6.23 geöffnet wurden. Die Zero Day Initiative von Trend Micro entdeckte die WinRAR-Software-Schwachstelle am 8. Juni 2023, obwohl sie erst am 17. August 2023 offiziell gemeldet wurde. Das WinRAR-Sicherheitsupdate wurde dieses Problem in der Version 6.23 schnell behobenbehoben, die am 2. August veröffentlicht wurde.
Die schnellen Handlungen des Bedrohungsakteurs
Eine Entität, die sich selbst "whalersplonk", nutzte die Gelegenheit und tarnte die Malware als Exploit-Code für die neue WinRAR-Sicherheitslücke. Um ihrem Schadpaket Legitimität zu verleihen, veröffentlichte der Bedrohungsakteur eine Zusammenfassung in der README-Datei sowie ein Demonstrationsvideo auf Streamable, in dem die Verwendung des PoC beschrieben wird.
Die Entdeckung der Unit 42-Crew war hingegen besorgniserregend. Das angebliche Python-PoC-Skript erwies sich als modifizierte Version eines öffentlich verfügbaren Exploit für eine andere Sicherheitslücke, CVE-2023-25157. Bei diesem anderen Fehler handelte es sich um eine erhebliche SQL-Injektionsschwachstelle, die GeoServer betraf.
Die VenomRAT-Bedrohung
Anstatt den geplanten Exploit zu starten, der falsche WinRAR PoC ein Batch-Skript entwickelt. Dieses Skript wiederum lud ein verschlüsseltes PowerShell-Skript herunter und führte es auf dem infizierten Host aus. Das Endergebnis? Die VenomRAT-Malware drang in das System ein und löste eine Reihe von bösartigen Aktionen aus.
Wenn VenomRAT auf einem Windows-Gerät gestartet wird, startet es einen Key-Logger. Diese beängstigende Software protokollierte jeden Tastenanschlag und speicherte die Daten in einer lokalen Textdatei. Anschließend kommunizierte der Virus mit einem Command-and-Control-Server (C2), von dem er eine Reihe von alarmierenden Befehlen erhielt. Diese Befehle reichten von der Aktivierung von in der Registrierung gespeicherten Plugins bis zum Löschen von Software-Registrierungsunterschlüsseln. Die Malware konnte sogar die Dauer zwischen den Pings zum C2-Server berechnen.
Angesichts VenomRAT in der Lage ist, weitere Nutzdaten zu verteilen und wichtige Anmeldeinformationen zu stehlensollten diejenigen, die den falschen PoC ausgeführt haben, ihre Passwörter für alle Konten und Umgebungen zurücksetzen.
Eine strategische Täuschung der WinRAR-Schwachstelle
Nach dem von Referat 42 aufgestellten Zeitplan entwickelte der Bedrohungsakteur methodisch die Angriffsinfrastruktur und die Nutzlast lange vor der öffentlichen Ankündigung des WinRAR-Schwachstelle. Dieses gezielte Vorgehen lässt vermuten, dass derselbe Angreifer in Zukunft die erhöhte Aufmerksamkeit der Sicherheitsgemeinschaft für neu bekannt gewordene Schwachstellen nutzen könnte, um weitere betrügerische PoCs für mehrere Probleme zu verbreiten.
Eine breitere Bedrohungslandschaft
Die Veröffentlichung von betrügerischen PoCs auf Plattformen wie GitHub ist kein ungewöhnlicher Fall. Sowohl Cyberkriminelle als auch Sicherheitsforscher sind häufig Ziel von Bedrohungsakteuren. Forscher entdeckten tausende von GitHub-Repositories, die gefälschte PoC-Exploits für zahlreiche Zero-Day-Schwachstellen bereits Ende 2022. Viele dieser fragwürdigen Repositories waren mit Malware infiziert, bösartigen PowerShell-Skriptenversteckten Info-Stealer-Downloadern und sogar Cobalt-Strike-Droppern infiziert.
Schlussfolgerung
Wachsamkeit ist in der sich ständig verändernden Welt der Cybersicherheitsbedrohungen unerlässlich. Das Aufkommen gefälschter PoCs ist eine deutliche Mahnung, dass Vertrauen nicht wahllos gewährt werden sollteinsbesondere im Bereich der Cybersicherheitsforschung und -tests. Seien Sie immer vorsichtig, wenn Sie mit PoCs aus unbekannten Quellen arbeiten, und ergreifen Sie proaktiv strenge Sicherheitsmaßnahmen, um Ihre Ihre Systeme vor bösartigen Angriffen zu schützen.
Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Bleeping Computer.