ClickCease Vorsicht! WinRAR Sicherheitslücke PoC aufgedeckt

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Vorsicht! WinRAR Sicherheitslücke PoC aufgedeckt

Wajahat Raja

4. Oktober 2023. TuxCare-Expertenteam

Ein Hacker veröffentlichte kürzlich a gefälschten Proof-of-Concept (PoC) Exploit für eine bereits gepatchte WinRAR-Schwachstelleveröffentlicht, was eine besorgniserregende Enthüllung ist. Das Ziel dieser böswilligen Operation war es ahnungslose Downloader mit dem berüchtigten VenomRAT-Virus zu infizieren. Obwohl die unmittelbare Bedrohung entschärft wurde, zeigt dieser Vorfall die Risiken auf, die entstehen, wenn PoCs von Diensten wie GitHub ohne ausreichende Sicherheitsprüfung akzeptiert werden.

 

Entdeckung des Fake PoC

 

Der gefälschte PoC-Exploit wurde von Cybersecurity-Experten des Unit 42-Teams von Palo Alto Networks entdeckt. Auf 21. August 2023hat der Angreifer diesen bösartigen Code auf GitHub veröffentlicht. Der Versuch wurde glücklicherweise vereitelt, aber die Episode dient als klare Erinnerung an die Risiken, die mit ungeprüften PoCs verbunden sind.

Der gefälschte PoC nutzte die Sicherheitslücke CVE-2023-40477aus, die die Ausführung von beliebigem Code ermöglichte, wenn angepasste RAR-Dateien in WinRAR-Versionen vor 6.23 geöffnet wurden. Die Zero Day Initiative von Trend Micro entdeckte die WinRAR-Software-Schwachstelle am 8. Juni 2023, obwohl sie erst am 17. August 2023 offiziell gemeldet wurde. Das WinRAR-Sicherheitsupdate wurde dieses Problem in der Version 6.23 schnell behobenbehoben, die am 2. August veröffentlicht wurde.

Die schnellen Handlungen des Bedrohungsakteurs

 

Eine Entität, die sich selbst "whalersplonk", nutzte die Gelegenheit und tarnte die Malware als Exploit-Code für die neue WinRAR-Sicherheitslücke. Um ihrem Schadpaket Legitimität zu verleihen, veröffentlichte der Bedrohungsakteur eine Zusammenfassung in der README-Datei sowie ein Demonstrationsvideo auf Streamable, in dem die Verwendung des PoC beschrieben wird.

Die Entdeckung der Unit 42-Crew war hingegen besorgniserregend. Das angebliche Python-PoC-Skript erwies sich als modifizierte Version eines öffentlich verfügbaren Exploit für eine andere Sicherheitslücke, CVE-2023-25157. Bei diesem anderen Fehler handelte es sich um eine erhebliche SQL-Injektionsschwachstelle, die GeoServer betraf.

Die VenomRAT-Bedrohung

 

Anstatt den geplanten Exploit zu starten, der falsche WinRAR PoC ein Batch-Skript entwickelt. Dieses Skript wiederum lud ein verschlüsseltes PowerShell-Skript herunter und führte es auf dem infizierten Host aus. Das Endergebnis? Die VenomRAT-Malware drang in das System ein und löste eine Reihe von bösartigen Aktionen aus.

Wenn VenomRAT auf einem Windows-Gerät gestartet wird, startet es einen Key-Logger. Diese beängstigende Software protokollierte jeden Tastenanschlag und speicherte die Daten in einer lokalen Textdatei. Anschließend kommunizierte der Virus mit einem Command-and-Control-Server (C2), von dem er eine Reihe von alarmierenden Befehlen erhielt. Diese Befehle reichten von der Aktivierung von in der Registrierung gespeicherten Plugins bis zum Löschen von Software-Registrierungsunterschlüsseln. Die Malware konnte sogar die Dauer zwischen den Pings zum C2-Server berechnen.

Angesichts VenomRAT in der Lage ist, weitere Nutzdaten zu verteilen und wichtige Anmeldeinformationen zu stehlensollten diejenigen, die den falschen PoC ausgeführt haben, ihre Passwörter für alle Konten und Umgebungen zurücksetzen.

Eine strategische Täuschung der WinRAR-Schwachstelle

 

Nach dem von Referat 42 aufgestellten Zeitplan entwickelte der Bedrohungsakteur methodisch die Angriffsinfrastruktur und die Nutzlast lange vor der öffentlichen Ankündigung des WinRAR-Schwachstelle. Dieses gezielte Vorgehen lässt vermuten, dass derselbe Angreifer in Zukunft die erhöhte Aufmerksamkeit der Sicherheitsgemeinschaft für neu bekannt gewordene Schwachstellen nutzen könnte, um weitere betrügerische PoCs für mehrere Probleme zu verbreiten.

Eine breitere Bedrohungslandschaft

 

Die Veröffentlichung von betrügerischen PoCs auf Plattformen wie GitHub ist kein ungewöhnlicher Fall. Sowohl Cyberkriminelle als auch Sicherheitsforscher sind häufig Ziel von Bedrohungsakteuren. Forscher entdeckten tausende von GitHub-Repositories, die gefälschte PoC-Exploits für zahlreiche Zero-Day-Schwachstellen bereits Ende 2022. Viele dieser fragwürdigen Repositories waren mit Malware infiziert, bösartigen PowerShell-Skriptenversteckten Info-Stealer-Downloadern und sogar Cobalt-Strike-Droppern infiziert.

Schlussfolgerung

 

Wachsamkeit ist in der sich ständig verändernden Welt der Cybersicherheitsbedrohungen unerlässlich. Das Aufkommen gefälschter PoCs ist eine deutliche Mahnung, dass Vertrauen nicht wahllos gewährt werden sollteinsbesondere im Bereich der Cybersicherheitsforschung und -tests. Seien Sie immer vorsichtig, wenn Sie mit PoCs aus unbekannten Quellen arbeiten, und ergreifen Sie proaktiv strenge Sicherheitsmaßnahmen, um Ihre Ihre Systeme vor bösartigen Angriffen zu schützen.

Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Bleeping Computer.

Zusammenfassung
Vorsicht! WinRAR Sicherheitslücke PoC aufgedeckt
Artikel Name
Vorsicht! WinRAR Sicherheitslücke PoC aufgedeckt
Beschreibung
Bleiben Sie geschützt - Informieren Sie sich über die jüngste WinRAR-Schwachstelle und die mit einem gefälschten PoC verbundenen Risiken. Sorgen Sie jetzt für Ihre Cybersicherheit.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter