WinZip: Unsichere Server-Verbindung erlaubt Hackerangriffe

Publiziert am 15. Dezember 2020 von Günter Born

Kleiner Nachtrag zum Thema Sicherheit des Packprogramms WinZip. In einigen Programmversionen bis zur Version 24 haben die Entwickler es versäumt, eine Verbindung zu einem Server zum Prüfen auf Updates abzusichern. Das Arbeiten mit WinZip birgt in dieser Konstellation also ein Sicherheitsrisiko, da Updates durch Angreifer manipuliert werden könnten. In WinZip 25 ist das Problem aber behoben.

Anzeige

WinZip ist ein von Nico Mak vor entwickeltes und erstmals 1991 freigegebenes Kompressionsprogramms, welches letztendlich ein Frontend für das von Phil Katz geschriebenen Kompressionsprogramms PKZIP fungiert. WinZip wurde seinerzeit als Shareware angeboten und war lange Zeit eines meiner wichtigsten Tools zum Komprimieren von Dateien. Gibt hier noch ein T-Shirt, welches ich mal persönlich von Nico Mak für diverse Aktionen zur Verbreitung von WinZip bekommen habe. Sowohl T-Shirt als auch WinZip erwiesen sich als langlebig. Das Programm steht inzwischen für Windows, macOS, iOS und Android zur Verfügung. Es gibt auch eine Enterprise-Variante mit Kollaborationsfunktionen.

WinZip 24 nutzt http-Verbindungen

Sicherheitsforscher Martin Rakhmanov von Trustwave ist bei der Beobachtung der Netzwerkkommunikation von WinZip 24 aufgefallen, dass das Programm Update-Prüfanforderungen im Klartext (HTTP) sendet. Dieselbe Klartextkommunikation wird auch bei der Anzeige von Trial-Popups verwendet und könnte dazu genutzt werden, Malware auf die Computer der Benutzer zu übertragen.

WinZip-Kommunikation
(Quelle: Martin Rakhmanov, Trustwave)

Obige Abbildung zeigt einige dieser Kommunikationsanforderungen, die Rakhmanov mitgeschnitten und in diesem Blog-Beitrag dokumentiert hat. Da HTTP ein unverschlüsselter Kommunikationskanal ist, kann er der Datenverkehr eingesehen, abgefangen und manipuliert werden. Das bedeutet, dass Angreifer, die sich im selben Netzwerk befinden wie ein Benutzer, Techniken wie DNS-Poisoning verwenden kann, um die Anwendung dazu zu bringen, "Update"-Dateien von einem bösartigen Webserver statt vom legitimen WinZip-Update-Host abzurufen. Dadurch kann theoretisch beliebiger Code gestartet als 'gültiges Update' gestartet werden (praktisch könnte WinZip noch eine digitale Signatur verwenden, um zu sehen, ob es ein legitimes Update ist, und ggf. die Installation verweigern.

WinZip-Popup
(Quelle: Martin Rakhmanov, Trustwave)

Rakhmanov ist zudem aufgefallen, dass WinZip bei der Testversion zyklisch Popus öffnet, um den Benutzer auf den Kauf von WinZip und die Registrierung hinzuweisen. Auch diese Anzeige verwendet eine http-Verbindung.  Diese Erkenntnisse wurden an die WinZip-Entwickler weiter gegeben.  WinZip Version 25 verwendet ordnungsgemäß HTTPS und ist nicht mehr anfällig für diese Art von Angriffen. Benutzer, die kein Upgrade durchführen können, sollten die Update-Prüfungen in den WinZip-Einstellungen deaktivieren und manuell nach Updates suchen und diese überprüfen. (via)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu WinZip: Unsichere Server-Verbindung erlaubt Hackerangriffe

  1. User007 sagt:
    15. Dezember 2020 um 12:23 Uhr

    Ich hab' WinZip nie benutzt – und mit Recht!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.