Bereits seit längerem deutet sich ein neuer Trend in der kriminellen Szene an. Es wird weiter nach Schwachstellen gesucht. Aber vor allem in weit verbreiteter Nicht-Standard-Software, da das Updaten so schwieriger wird. Jüngstes Beispiel ist das Komprimierungs-Tool WinRAR. Ein Kommentar von Trend Micro.
In einem am 02. August veröffentlichten Statement beschrieb der Hersteller RARLAB gleich zwei nennenswerte Schwachstellen deren Ausnutzung bereits nachgewiesen und/oder im Verhältnis einfach auszunutzen ist. Die Schwachstelle CVE-2023-38831 beschreibt dabei, dass Malware in speziell vorbereitete Archive „geschmuggelt werden kann“, während CVE-2023-40477 die Ausführung von Code auf einer betroffenen Maschine ermöglicht. Beide Probleme können mit dem Update auf die neueste Version von WinRAR behoben werden. Die Updates müssen aber auch durchgeführt werden und das ist es, was vielen Unternehmen Schwierigkeiten bereitet.
WinRAR: Kleine Schwachstelle – große Wirkung
Wie groß ist die Gefahr? Das ist schwer zu sagen. Für CVE-2023-38831 gibt es offenbar schon „in the Wild“-Archive, die eine Ausnutzung bestätigen. In ihrem Fall waren die „Bösen“ schneller. Bisher fanden sich entsprechende Attacken aber fast ausschließlich im Bereich der Kryptowährungswelt. Sicherheitslösungen in Unternehmen haben durch moderne Erkennungsmethoden derartige Angriffe meist zuverlässig im Griff.
Interessanter wird es bei 2023-40477. Sie wurde von Sicherheitsforschern gefunden und ist damit also kein „Zero Day“. Die Lücke hat mit 7.8 einen für Remote Code Execution (RCE)-Verhältnisse niedrigen CVSS-Score und wird nicht als kritisch, sondern „wichtig“ (important) eingestuft. Der Grund ist, dass eine User-Interaktion erfolgen muss. Nur jemand mit Zugriff auf eine Maschine kann sie theoretisch ausnutzen.
Hierbei handelt es sich um einen dieser Fälle, wo Theorie und Praxis von vielen Dingen abhängen. Denn Zugriff zu haben, ist für Cyberkriminelle – gerade im Geschäftsbereich – das Ziel aller Aktionen. So reicht es, wenn ein verwundbares System auf präparierte Webseiten zugreift oder ein entsprechendes File öffnet. Diese Standard-Ransomware-Angriffsmuster erlauben es, die Lücke auszunutzen und entsprechenden Code auszuführen. Es ist deshalb nur eine Frage der Zeit, bis es auch getan wird.
Einfaches WinRAR-Update bringt Sicherheit
Beide Lücken können durch ein einfaches Update auf die neueste Version behoben werden. Aber auch das ist für Unternehmen oft eine Herausforderung. Denn es handelt sich eben nicht um Standardsoftware. Hier gibt es möglicherweise keinen zentralen Update-Mechanismus und es kommt sogar vor, dass Administratoren sich des Vorhandenseins der Software nicht bewusst sind. Kennt man die Hintergründe nicht, ist auch der relativ niedrige CVSS (Common Vulnerability Scoring System)-Wert etwas, was für eine niedrige Priorisierung im Unternehmenskontext sorgt. Das sind alles Gründe, warum sich Hacker gerade derartige Sicherheitslücken aussuchen, um damit anzugreifen. Sie sind oft nicht bekannt und selbst wenn sie es sind, werden sie als niedriges Risiko betrachtet. So Richard Werner, Business Consultant bei Trend Micro.
Mehr bei Trendmicro.com
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..