Vorsicht bei JPGs und TXTs: Schwere Lücke in WinRAR

Eine neu entdeckte Zero-Day-Lücke in der Datenkompressions-Software WinRAR wird bereits seit Monaten aktiv ausgenutzt. Angreifer*innen können sich damit Zugriff auf fremde Systeme verschaffen, wenn die Opfer manipulierte Files innerhalb der Archive öffnen. Die Dateien können dabei als vermeintlich harmlose Dateitypen wie “.jpg” oder “.txt” getarnt sein. 

Aufgedeckt wurde die Schwachstelle von den Sicherheitsforscher*innen von Group IB. „Durch die Ausnutzung einer Schwachstelle in diesem Programm konnten Angreifer*innen ZIP-Archive erstellen, die als Transportmittel für verschiedene Malware dienen“, schrieb Andrey Polovinkin, Malware-Analyst bei Group-IB. Bei der Malware handelt es sich um Software aus den Familien DarkMe, GuLoader, und Remcos RAT, wie auch Ars Technica berichtet.

➤ Mehr lesen: Microsoft warnt: Outlook-Lücke von russischen Angreifern ausgenutzt

Krypto im Visier

Im Visier waren vorwiegend Menschen, die im Netz mit Kryptowährungen handeln. „Diese ZIP-Archive wurden in Trading-Foren verteilt. Sobald die Malware extrahiert und ausgeführt wurde, können die Angreifer*innen Geld von Konten abheben.“

Den Sicherheitsforscher*innen sind 130 Opfer bekannt, die zum Zeitpunkt der Veröffentlichung noch infiziert waren. Die Zahl der tatsächlich Betroffenen kann aber weit höher sein. Auch das Ausmaß des finanziellen Schadens ist noch unklar. Laut den Forscher*innen hat WinRAR 500 Millionen aktive Nutzer*innen. 

Rarlab, das Unternehmen hinter WinRAR, wurde über die Lücke informiert und reagierte prompt. Die Schwachstelle wurde geschlossen, Nutzer*innen wird dringend empfohlen, das Programm so schnell wie möglich upzudaten. Die neue Version, in der die Lücke geschlossen ist, ist 6.23.