WinRAR Code Execution-Schwachstelle CVE-2023-40477

Sicherheit (Pexels, allgemeine Nutzung)[English]Keine Ahnung, wie verbreitet WinRAR unter der Leserschaft dieses Blogs ist. Dessen Entwickler haben eine kritische Code Execution-Schwachstelle (CVE-2023-40477) in der Software behoben. Es reicht, eine kompromittierte Archivdatei zu öffnen, um Angreifern die Möglichkeit zu geben, beliebigen Code auf dem Zielsystem des Opfers auszuführen. Wer WinRAR verwendet, sollte daher die neueste Version 6.23 installieren. Ergänzung: Möglicherweise sind auch Software-Produkte betroffen, in denen die WinRAR-Libraries enthalten sind. Nachtrag: Angeblich besteht doch keine Gefahr.


Anzeige

Was ist WinRAR?

WinRAR ist ein Archivierungsprogramm für Dateien, welches unter Windows läuft und von Millionen Nutzern eingesetzt wird. Mit dem Programm lassen sich Archive im RAR- oder ZIP-Dateiformat erstellen, anzeigen und zahlreiche Archivdateiformate entpacken. WinRAR unterstützt dabei die Erstellung verschlüsselter, mehrteiliger und selbstextrahierender Archive.  Damit der Benutzer die Integrität von Archiven prüfen kann, bettet WinRAR CRC32- oder BLAKE2-Prüfsummen für jede Datei in jedes Archiv ein.

Schwachstelle CVE-2023-40477 in WinRAR

Nun wurde eine Schwachstelle in älteren Versionen des Programms entdeckt, die als hoch problematisch einzustufen ist. Ich bin über diverse Medienberichte wie hier oder hier sowie über nachfolgenden Tweet auf diese Schwachstelle aufmerksam geworden. Aufgedeckt hat das Problem die Zero Day Initiative, die das Ganze in diesem Beitrag vom 17. August 2023 dokumentiert.

WinRAR CVE-2023-40477

Die Schwachstelle CVE-2023-40477 (RARLAB WinRAR Recovery Volume Improper Validation of Array Index Remote Code Execution Vulnerability) wurde mit einem CVSS-Score von 7.8 eingestuft, weil sie eine Codeausführung ermöglicht. Diese Sicherheitslücke ermöglicht Remote-Angreifern die Ausführung von beliebigem Code auf betroffenen Installationen von RARLAB WinRAR. Um diese Sicherheitslücke auszunutzen, ist eine Benutzerinteraktion erforderlich, da das Ziel eine bösartige Seite besuchen oder eine bösartige Datei öffnen muss, heißt es in der Offenlegung.

Die Schwachstelle besteht in der Verarbeitung von Wiederherstellungsvolumes und resultiert aus einer fehlenden ordnungsgemäßen Validierung der vom Benutzer bereitgestellten Daten. Das kann zu einem Speicherzugriff über das Ende eines zugewiesenen Puffers hinaus führen. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Code im Kontext des aktuellen Prozesses auszuführen.

Die Schwachstelle wurde am 8. Juni 2023 an den Entwickler gemeldet und der Anbieter hat am 2. August 2023 WinRAR 6.23 freigegeben. Die Offenlegung der Schwachstelle erfolgte am 17. August 2023. Die Hinweise auf die aktualisierte Version sowie weitere Details finden sich in diesem Beitrag.

Auch andere Software betroffen?

Ergänzung: Die von WinRAR verwendeten Bibliotheken "unrar.dll" und "unrar64.dll" sind in einigen Software-Produkten (z.B. auch in Virenscannern) im Einsatz. Sofern dort alte Versionen der Bibliotheken eingesetzt werden, bestehen auch dort die betreffenden Schwachstellen. Andreas Marx von AV-Test hatte kürzlich heise-Security kontaktiert und auf diesen Sachverhalt hingewiesen.

Und im Fall von Virenscannern ist das noch kritischer als bei WinRAR, da die Virenschutzsoftware in der Regel mit erhöhten Rechten läuft. Es ist daher wichtig, zu prüfen, ob die Bibliotheken auf einem Windows-System zu finden sind und ob die aktualisierten Fassungen über die betreffende Software installiert wurde. Der Artikel von heise security sowie dieser Beitrag von Golem halten noch einige Details dazu bereit.


Anzeige

Ergänzung 2: Kollege Martin Brinkmann ist am Thema dran geblieben und hat auf ghacks.net diesen Artikel mit einem Update versehen. Laut dem WinRAR-Entwickler sollen die beiden oben erwähnten WinRAR-Bibliotheksdateien die Schwachstelle nicht aufweisen, bzw. Drittanwendungen können CVE-2023-40477 nicht ausnutzen. Allerdings wird geraten, die jeweilige Dritthersteller-Software, die die Bibliotheken verwendet, auf die aktuelle Version zu bringen. Danke an TomTom für den Hinweis.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu WinRAR Code Execution-Schwachstelle CVE-2023-40477

  1. Anonymous sagt:

    Besser 7zip (kann auch rar öffnen) benutzen oder noch besser nanazip app (7zip fork) funktioniert auch besser mit W11 (Kontextmenü) und updatet such über den MS Store.
    Apropos W11 ab 23H2 werden wohl 7zip und Rar nativ unterstützt.

  2. Bolko sagt:

    Zitat:
    "der Anbieter hat am 2. August 2023 WinRAR 6.3 freigegeben."

    An dem Tag wurde WinRAR 6.23 freigegeben (nicht 6.3).

    WinRAR benutze ich regelmäßig für Backups der persönlichen Daten.
    Dabei hake ich nicht nur die "Wiederherstellungsdaten" an, sondern lasse das Archiv auch zusätzlich aufteilen (Volumengröße einstellen und dann im Reiter Erweitert zusätzlich noch die Anzahl der Wiederherstellungsvolumen einstellen).

    Dadurch erhält man doppelte Redundanz.

    Der Vorteil ist, dass man dann auch schwer beschädigte Archive wieder fehlerfrei herstellen kann, wenn Teilvolumen teilweise (dann ersetzen die Wiederherstellungsdaten die zerstörten Daten im jeweiligen Teilvolumen) oder auch mehrere Teilvolumen komplett zerstört sind (dann ersetzen die redundanten Wiederherstellungsvolumen die zerstörten Teilvolumen).

    Dadurch kann eventuelles Bitrotting wieder fehlerfrei korrigiert werden.

  3. Romboman sagt:

    Was mir an WinRar gefällt ist das SFX Modul, da kann man wirklich gute Installer basteln. Ich verwende viele SFX Installer im Microsoft Deployment Toolkit. Der einzige Nachteil ist, dass so gut wir jede Anti-Malware Software die Ausführung verhindert.

  4. max sagt:

    Rar gehört seit Mitte der 90er zu meinen Standardprogs, sei es in (damals) DOS, Windows oder *nix Umfeld, wobei ich die Commandline Version benutze, Winrar ist nur eine Klickfläche daher tangiert mich das weniger.

    Mit freundlichen Grüßen

  5. Pau1 sagt:

    WinRAR war mal für seine hohe Packdichte berühmt.
    Heute ist 7zip kaum schlechter.
    Heute hat es, wie beschrieben, den Nachteit, das Virenscanner alles Sperren was Rar selbstextrahierend ist und überforderte Admims den Zusammenhang nicht sehen und sagen, das es schon seine Richtigkeit hat wenn der Viren Scanner anschlägt…
    Also ist WinRar sfx praktisch tot. Auch muss man im Kommerziellen Bereich für die Pack Funktion zahlen.

    Und dann, nach wohl 30 Jahren Entwicklung noch immer solche Fehler?

    • T Sommer sagt:

      30 Jahre Entwicklung und immer noch einfach gut!
      Andere sind nach 30 Jahre lange weg vom Fenster!
      Und vor allem habe ich mir meine Lizenz 2007 gekauft und noch nicht einen Cent für ein Upgrade ausgeben müssen!
      Denke ich da an PKZip / WinZip sind wir da aber in einer anderen Liga!
      Zu Dos Zeiten war LHA und ARJ meine Favoriten!
      Mir fehlt nur unter Linux und MacOS der Fenstermanager – man wird mit dem Alter halt verwöhnter.

    • Michael sagt:

      Die Richtigkeit hat es insofern da es ein Indicator (IoA) ist, RAR SFX wird/wurde halt auch sehr viel von Schadsoftware Entwicklern verwendet um den Payload zu maskieren und Sicherheitssoftware zu umgehen. Deswegen sollte die Ausführung pauschal verhindert werden.

  6. Andreas sagt:

    Ich finde es fatal das man bei WinRar im Programm selbst nicht auf eine neue Version hingewiesen wird. Es gibt keine integrierte Updatefunktion.
    Alle meine Freunde verwenden WinRar, aber sicherlich noch eine Version von der letzten Windows-Installation.

    • T Sommer sagt:

      Ist doch gut – ein Programm, das mal nicht nach Hause telefoniert! Wie das das ist jetzt auch wieder nix?
      Dafür ist doch die Webseite im Programm verlinkt – kann man jederzeit sich selber informieren.

      • Jack68 sagt:

        Was wäre denn an einem reinen Versions-Abgleich kritisch, sofern er datensparsam umgesetzt wird und keine Logs gespeichert werden? Wer sich für den Einsatz von Closed Source entscheidet, muss halt ohnehin einen gewissen Vertrauensvorschuss investieren.
        Aber wie auch immer, man sollte das meines Erachtens optional implementieren, so kann kann jeder für sich selbst entscheiden, ob solche Update-Hinweise gewünscht sind oder nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.