WinRAR RCE: Sicherheitslücke in Version 5.70

Igor Sak-Sakovskiy hat herausgefunden, dass sich in WinRAR noch die Rendering Engine des Internet Explorers versteckt, inklusive RCE.

Bildquelle: Pe3check

Der Sicherheitsexperte Igor Sak-Sakovskiy, auch Psych0tr1a genannt, hat herausgefunden, dass sich in WinRAR noch die Rendering Engine des Internet Explorers versteckt. Mithilfe einer Man-in-the-Middle-Attacke lassen sich beliebige Webinhalte darüber ausliefern und auch Sicherheitslücken des Internet Explorers ausnutzen.

WinRAR, die ewige Testversion

Bei der Software WinRAR, welche sogar mittlerweile für Android erhältlich ist, hat sich wohl jeder gefragt: Bezahlt überhaupt jemand dafür? Nach Ablauf der Testperiode von 40 Tagen hat das Komprimierungsprogramm alle 3 Programmstart zum Kauf aufgefordert. Nutzen konnte man das Programm weiterhin, dies war aber laut den Geschäftsbedingungen widerrechtlich.

Den Großteil der Privatnutzer hat das nicht interessiert. Wirft man aber einen Blick in die Bilanzen der winrar GmbH aus Berlin, sieht man, dass diese in den späten 2000ern jährlich einige 100.000 € Gewinn erwirtschaften. Es ist daher davon auszugehen, dass die ein oder andere Person oder eher Firma Lizenzen für WinRAR gekauft hat.

WinRAR RCE vom Hersteller bereits behoben

Der Hersteller hat die WinRAR-Sicherheitslücke, die unter der Kennung CVE-2021-35052 gelistet ist, dank Igor Sak-Sakovskiys Tipp bereits im Mai 2021 mit der Version 6.02 Beta behoben.

In der gleichen Version wurde ein Problem von ZIP-SFX-Archiven behoben, das das Einschleusen von SFX-Kommandos erlaubte.

Bereits 2019 wurde in der Software eine Code-Execution-Lücke behoben, die sich auf ACE-Archive bezog. Die verwendete Engine zum Entpacken der ACE-Archive wurde 2005 das letzte Mal aktualisiert. Lösung von WinRAR: Entfernen der betroffenen Bibliothek UNACEV2.dll und damit der ACE-Unterstützung.

Das Security-Tool Burp Suite war hilfreich

WinRAR fordert den Nutzer mit einer Webseite innerhalb eines eingebetteten Browsers auf, die Software zu erwerben. Psych0tr1a bemerkte dabei einen JavaScript-Fehler, der ihn an den Internet Explorer erinnerte, welcher ihn ermutigte einmal genau hinzusehen. Dabei stellte er fest, dass im WinRAR Installations-Verzeichnis die Internet-Explorer-Bibliothek MSHTML.dll liegt.

Mithilfe des Security-Tools Burp Suite von PortSwigger konnteIgor Sak-Sakovskiy die Webseite innerhalb von WinRAR austauschen. Damit der Nutzer keine Zertifikats-Warnung erhält, reichte eine sogenannte Downgrade-Attacke aus, um die Webseite von HTTPS auf HTTP umzustellen (301 Moved Permanently).

Lesen Sie auch

WinRAR RCE kombiniert MSHTML RCE

Schon die Umleitung der Webseite stellt ein ernsthaftes Sicherheitsproblem dar, da man so Zahlungsdaten eines Käufers abfischen und missbrauchen könnte.

In der MSHTML-Bibliothek schlummerte aber eine Code-Execution-Lücke, nun auch unter CVE-2021-40444 bekannt. Diese erlaubte es bösartige Inhalte nachzuladen und auch beliebige Inhalte auf dem System auszuführen und abzufragen. Dadurch wird aus der einfachen Umleitung in WinRAR eine mögliche RCE-Lücke.

<a href=“file://10.0.12.34/applications/test.jar“>file://10.0.12.34/applications/test.jar</a>
<br>
<a href=“\\10.0.12.34/applications/test.jar“>\\10.0.12.34/applications/test.jar</a>
<br>
<a href=“file://localhost/C:/windows/system32/drivers/etc/hosts“>file://localhost/C:/windows/system32/drivers/etc/hosts</a>
<br>
<a href=“file:///C:/windows/system32/calc.exe“>file:///C:/windows/system32/calc.exe</a>
<br>
<a href=“file:///C:\\windows\\system.ini“>file:///C:\\windows\\system.ini</a><br>

HTML-Quellcode der die Sicherheitslücke aufzeigt

Damit lässt sich dann beispielsweise der Windows Taschenrechner starten (welcher gerne als Proof-of-Concept von Hackern für Exploits verwendet wird.)

Um die Lücke auszunutzen, müsste der Angreifer sich im gleichen Netzwerk wie das Opfer befinden und ihn dazu bringen, die (natürlich) noch unlizenzierte Software WinRAR zu starten. Daher sollte man als Nutzer immer sicherstellen, dass sich, sollte man in einem unsicheren WLAN unterwegs sein, niemand in die Verbindung einklinken kann. Dafür bietet sich beispielsweise ein eigenes Heim-VPN, wie von der Fritz!Box an oder man setzt auf einen externen VPN-Anbieter.

Tarnkappe.info

honeybee

honeybee schreibt seit Ende 2020 für die Tarnkappe. Der Einstieg war ein Reverse Engineering Artikel über die Toniebox. Die Biene liebt es, Technik aller Art in ihre Bestandteile zu zerlegen. Schraubendreher und Lötkolben liegen immer in Reichweite. Themen wie Softwareentwicklung, Reverse Engineering, IT-Security und Hacking sind heiß geliebt.