WinRAR-Schwachstelle wird bereits ausgenutzt

Trend Micro News

Beitrag teilen

Bereits seit längerem deutet sich ein neuer Trend in der kriminellen Szene an. Es wird weiter nach Schwachstellen gesucht. Aber vor allem in weit verbreiteter Nicht-Standard-Software, da das Updaten so schwieriger wird. Jüngstes Beispiel ist das Komprimierungs-Tool WinRAR. Ein Kommentar von Trend Micro.

In einem am 02. August veröffentlichten Statement beschrieb der Hersteller RARLAB gleich zwei nennenswerte Schwachstellen deren Ausnutzung bereits nachgewiesen und/oder im Verhältnis einfach auszunutzen ist. Die Schwachstelle CVE-2023-38831 beschreibt dabei, dass Malware in speziell vorbereitete Archive „geschmuggelt werden kann“, während CVE-2023-40477 die Ausführung von Code auf einer betroffenen Maschine ermöglicht. Beide Probleme können mit dem Update auf die neueste Version von WinRAR behoben werden. Die Updates müssen aber auch durchgeführt werden und das ist es, was vielen Unternehmen Schwierigkeiten bereitet.

WinRAR: Kleine Schwachstelle – große Wirkung

Wie groß ist die Gefahr? Das ist schwer zu sagen. Für CVE-2023-38831 gibt es offenbar schon „in the Wild“-Archive, die eine Ausnutzung bestätigen. In ihrem Fall waren die „Bösen“ schneller. Bisher fanden sich entsprechende Attacken aber fast ausschließlich im Bereich der Kryptowährungswelt. Sicherheitslösungen in Unternehmen haben durch moderne Erkennungsmethoden derartige Angriffe meist zuverlässig im Griff.

Interessanter wird es bei 2023-40477. Sie wurde von Sicherheitsforschern gefunden und ist damit also kein „Zero Day“. Die Lücke hat mit 7.8 einen für Remote Code Execution (RCE)-Verhältnisse niedrigen CVSS-Score und wird nicht als kritisch, sondern „wichtig“ (important) eingestuft. Der Grund ist, dass eine User-Interaktion erfolgen muss. Nur jemand mit Zugriff auf eine Maschine kann sie theoretisch ausnutzen.

Hierbei handelt es sich um einen dieser Fälle, wo Theorie und Praxis von vielen Dingen abhängen. Denn Zugriff zu haben, ist für Cyberkriminelle – gerade im Geschäftsbereich – das Ziel aller Aktionen. So reicht es, wenn ein verwundbares System auf präparierte Webseiten zugreift oder ein entsprechendes File öffnet. Diese Standard-Ransomware-Angriffsmuster erlauben es, die Lücke auszunutzen und entsprechenden Code auszuführen. Es ist deshalb nur eine Frage der Zeit, bis es auch getan wird.

Einfaches WinRAR-Update bringt Sicherheit

Beide Lücken können durch ein einfaches Update auf die neueste Version behoben werden. Aber auch das ist für Unternehmen oft eine Herausforderung. Denn es handelt sich eben nicht um Standardsoftware. Hier gibt es möglicherweise keinen zentralen Update-Mechanismus und es kommt sogar vor, dass Administratoren sich des Vorhandenseins der Software nicht bewusst sind. Kennt man die Hintergründe nicht, ist auch der relativ niedrige CVSS (Common Vulnerability Scoring System)-Wert etwas, was für eine niedrige Priorisierung im Unternehmenskontext sorgt. Das sind alles Gründe, warum sich Hacker gerade derartige Sicherheitslücken aussuchen, um damit anzugreifen. Sie sind oft nicht bekannt und selbst wenn sie es sind, werden sie als niedriges Risiko betrachtet. So Richard Werner, Business Consultant bei Trend Micro.

Mehr bei Trendmicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..


 

Passende Artikel zum Thema

Fortigate-Geräte: China-Hacker hatten Zugriff auf 20.000 Systeme 

Bereits 2022 und 2023 wurde eine Schwachstelle in FortiGate-Geräten von chinesischen Hackern ausgenutzt. Der Niederländische Nachrichtendienst hat den Vorfall nun ➡ Weiterlesen

VMware vCenter Server: Kritische Schwachstelle patchen 

Broadcom bietet für VMware vCenter Server Patches für zwei Schwachstellen. Eine davon ist mit einem CVSS-Wert von 9.8 kritisch, die ➡ Weiterlesen

Chinesische Spionagekampagne enttarnt

Die Experten von Sophos haben eine chinesische Spionagekampagne in Südostasien aufgedeckt. Sophos X-Ops findet Verbindungen zwischen fünf bekannten chinesischen Bedrohungsgruppen, darunter ➡ Weiterlesen

Aufsteiger 2024: Ransomware-Gruppe 8Base

In einer neuen Analyse widmet sich Trend Micro der Ransomware-Gruppe 8Base. Diese nahm in den ersten Monaten des Jahres 2024 ➡ Weiterlesen

Schwachstellen in Check Point Security Gateways attackiert

Wie das BSI mitteilt, werden aktuell die veröffentlichten Schwachstellen in Security Gateways von Check Point attackiert. Das BSI schließt den ➡ Weiterlesen

Russische Hacker: Cyberangriffe auf die Demokratie

Ermittlungen haben ergeben, dass die russische Hackergruppe APT28 (Advanced Persistent Threat) auch Fancy Bear, Forest Blizzard oder Pawn Storm genannt, ➡ Weiterlesen

Atom- und Chemieanlagen: Biometrische Scanner mit Schwachstellen

Experten haben 24 Schwachstellen in den hybriden biometrischen Zugangsterminals des internationalen Herstellers ZKTeco gefunden. Die betroffenen Scanner werden vermehrt in ➡ Weiterlesen

Neue Sicherheitslösung für KI-gestützte Rechenzentren

Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, stellt eine neue Sicherheitslösung für Rechenzentren mit NVIDIA-Technologie für Business- und ➡ Weiterlesen