Eine kritische Sicherheitslücke wurde in WinRAR, einem beliebten Dienstprogramm zur Dateikompression und -archivierung für Windows, entdeckt. Die Schwachstelle, die als CVE-2024-36052 erfasst wurde, betrifft Versionen von WinRAR vor 7.00 und erlaubt es Angreifern, die Bildschirmausgabe mittels ANSI-Escape-Sequenzen zu manipulieren.
Das Problem entsteht durch die unzureichende Validierung und Säuberung von Dateinamen innerhalb von ZIP-Archiven, die von Siddharth Dushantha identifiziert wurde. Wenn ein speziell präpariertes ZIP-Archiv, das einen Dateinamen mit ANSI-Escape-Sequenzen enthält, mit WinRAR entpackt wird, scheitert die Anwendung daran, die Escape-Sequenzen korrekt zu verarbeiten.
Stattdessen interpretiert sie diese als Steuerzeichen, was Angreifern ermöglicht, den angezeigten Dateinamen zu manipulieren und Nutzer potenziell dazu zu verleiten, bösartige Dateien auszuführen.
ANSI-Escape-Sequenzen sind spezielle Codes, die verwendet werden, um das Format und das Erscheinungsbild von Text in Kommandozeilen-Schnittstellen und Terminals zu steuern. Die meisten dieser Sequenzen beginnen mit einem ASCII-Escape-Zeichen (ESC, \x1B), gefolgt von einem eckigen Klammer-Zeichen ([) und werden in den Text eingebettet.
Durch das Erstellen bösartiger Archive, die diese Sequenzen enthalten, können Angreifer die angezeigte Ausgabe manipulieren und Nutzer täuschen, indem sie glauben lassen, sie würden eine harmlose Datei, wie ein PDF oder ein Bild, öffnen.
Wenn ein Nutzer versucht, die scheinbar harmlose Datei innerhalb von WinRAR zu öffnen, wird die Schwachstelle ausgelöst, da die Dateierweiterungen nicht richtig behandelt werden. Statt der erwarteten Datei empfängt die ShellExecute-Funktion von WinRAR einen falschen Parameter und führt ein verstecktes bösartiges Skript aus, wie eine Batch-Datei (.bat) oder ein Kommandoskript (.cmd), so Dushantha.
Dieses Skript kann dann Malware auf dem Gerät des Opfers installieren, während gleichzeitig das Täuschungsdokument angezeigt wird, um keinen Verdacht zu erregen.
Es ist wichtig zu beachten, dass diese Sicherheitslücke spezifisch für WinRAR unter Windows ist und sich von CVE-2024-33899 unterscheidet, die WinRAR auf Linux- und UNIX-Plattformen betrifft.
Die Versionen von WinRAR für Linux und UNIX sind ebenfalls anfällig für Bildschirmausgabe-Manipulationen und Denial-of-Service-Angriffe durch ANSI-Escape-Sequenzen.
Um das Risiko, das von dieser Sicherheitslücke ausgeht, zu minimieren, wird den Nutzern empfohlen, auf WinRAR Version 7.00 oder höher zu aktualisieren, die eine Korrektur für das Problem beinhaltet.
Zusätzlich kann Vorsicht beim Öffnen von Archiven aus nicht vertrauenswürdigen Quellen und das Aktivieren der Sichtbarkeit von Dateierweiterungen in Windows helfen, diese Art von Angriffen zu verhindern.
Die Sicherheitslücke wurde am 23. Mai 2024 öffentlich bekannt gemacht, und es ist entscheidend, dass WinRAR-Nutzer sofort handeln, um ihre Systeme vor potenzieller Ausnutzung durch böswillige Akteure zu schützen.