Im Sommer 2023 wurde eine gravierende Sicherheitslücke in WinRAR entdeckt: CVE-2023-38831 ermöglicht es Angreifern, beliebigen Code auf den Systemen der Opfer auszuführen. Obwohl die Schwachstelle mit WinRAR Version 6.23 gepatcht wurde, sind weltweit Millionen Systeme weiterhin ungepatcht — und staatlich unterstützte Hackergruppen nutzen die Lücke gezielt aus.

Wie der Exploit funktioniert

Die Schwachstelle liegt in der Art, wie WinRAR Dateinamen innerhalb von ZIP-Archiven verarbeitet. Angreifer erstellen manipulierte Archive, die auf den ersten Blick harmlose Dateien enthalten — etwa ein PDF oder ein Bild. Beim Öffnen der vermeintlich harmlosen Datei wird jedoch automatisch ein verstecktes Skript ausgeführt, das Malware nachlädt.

Das Perfide: Der Nutzer sieht eine erwartete Datei, klickt sie an und merkt nicht, dass im Hintergrund Code ausgeführt wird. Es gibt keinen offensichtlichen Warnhinweis, kein verdächtiges Verhalten — bis es zu spät ist.

Group-IB, das Unternehmen, das die Schwachstelle entdeckte, dokumentierte, dass CVE-2023-38831 bereits seit April 2023 aktiv ausgenutzt wurde — Monate bevor sie öffentlich bekannt wurde. Die ersten Angriffe richteten sich gegen Händler auf Finanzmärkten.

Staatliche Akteure steigen ein

Nach der Veröffentlichung der Schwachstelle übernahmen staatlich unterstützte Gruppen den Exploit. Google Threat Analysis Group (TAG) dokumentierte Angriffe durch:

• APT28 (Fancy Bear / Forest Blizzard): Russische Gruppe, Angriffe auf ukrainische Institutionen
• APT40 (Leviathan): Chinesische Gruppe, Ziele in Papua-Neuguinea
• Sandworm: Russische Gruppe, Angriffe auf ukrainische Energieinfrastruktur

Die Angreifer verbreiten die manipulierten Archive über Spear-Phishing-E-Mails und kompromittierte Websites. Die Archive tarnen sich als Dokumente, Berichte oder Tabellenkalkulationen — Dateitypen, die im Geschäftsalltag routinemäßig geöffnet werden.

Warum so viele Systeme ungepatcht bleiben

WinRAR hat eine geschätzte Nutzerbasis von über 500 Millionen Installationen weltweit. Das Problem: WinRAR hat keinen automatischen Update-Mechanismus. Updates müssen manuell heruntergeladen und installiert werden. In Unternehmensumgebungen ohne zentrales Software-Deployment wird WinRAR oft vergessen — es ist „nur ein Hilfsprogramm”.

Genau das macht es zum idealen Angriffsvektor: Eine Anwendung, die auf fast jedem Windows-Rechner installiert ist, aber in keinem Patch-Management-Prozess auftaucht.

Handlungsempfehlungen

• Sofort aktualisieren: WinRAR auf Version 6.23 oder höher. Alternativ auf das in Windows 11 integrierte native ZIP/RAR-Handling umsteigen
• Software-Inventar erstellen: Identifizieren Sie alle WinRAR-Installationen in Ihrer Umgebung. Tools wie SCCM, Intune oder Open-Source-Alternativen helfen
• Application Whitelisting evaluieren: In sicherheitskritischen Umgebungen sollte nur explizit freigegebene Software ausführbar sein
• E-Mail-Security: Archive als Anhänge besonders streng prüfen. Sandbox-Analyse kann manipulierte Archive erkennen, bevor sie den Endnutzer erreichen
• Endpoint-Monitoring: Verdächtige Prozessstarts nach dem Öffnen von Archiven überwachen — wenn WinRAR plötzlich PowerShell oder cmd.exe startet, ist das ein klarer Alarm

Eine neue bösartige OneNote-Datei wurde entdeckt. OneNote-Dokumente sind Microsoft-Produkte und haben die Erweiterung “.one”. Trustwave fand die bösartige “.one”-Datei erstmals Anfang Dezember.

Die Experten erhielten die Datei mit einer typischen Phishing-E-Mail. Die “.one”-Datei bestand aus bösartigen Skripten, die PowerShell-Befehle enthielten. Diese bestanden aus Anweisungen, um Dateien (sog. Payloads) von der Domain des Bedrohungsakteurs – a0745450[.]xsph[.]ru – herunterzuladen.

Die Datei lädt andere bösartige Komponenten nicht automatisch herunter. Sie verleitet den Benutzer dazu, die Skriptausführung zu starten, indem er auf die einzige angezeigte Schaltfläche klickt, doch darunter befindet sich ein bösartiges Skript.

Normalerweise warnt das System den Benutzer vor dem Öffnen einer Ausführungsdatei, aber diese Meldungen werden von den Benutzern häufig ignoriert.

Der weitere Weg der Malware ist schwer zu erkennen. Die Forscher behaupten, dass ein Formbook-Trojaner heruntergeladen wird, der aber jederzeit geändert werden kann.

Formbook selbst ist ein Malware-as-a-Service, aber der gesamte Angriff könnte Teil eines Phishing-as-a-Service-Angriffs sein, worüber wir bereits geschrieben haben. Hierbei ist es wahrscheinlich, dass die Malware Browserdaten stiehlt und Screenshots macht, und die Folgen können mit der Zeit immer größer werden.

Um die Risiken zu mindern, sollten Sie “.one”-Anhänge besser kennzeichnen, Mitarbeiter über Bedrohungen informieren und eine Mail Security Gateway Regeln konfigurieren. Es handelt sich (noch) nicht um einen typischen Angriff, aber je früher Sie sich vorbereiten, desto sicherer sind Sie.

Microsoft Exchange 0-Day-Schwachstellen

Kürzlich entdeckten Forscher von GTSC zwei neue Zero-Day-Schwachstellen. Es wurden bereits erfolgreiche Angriffe verzeichnet, die diese Schwachstellen ausnutzten. Anfällig sind Microsoft Exchange Server 2013, 2016 und 2019. Noch eher könnten Sie zum Opfer dieser Schwachstelle werden, wenn die automatische Erkennung aus dem Internet aktiviert ist.

Die Wirkung des Angriffs

Bisher ist nur wenig über erfolgreiche Angriffe bekannt, sodass der praktische Schaden nicht genau abgeschätzt werden kann. Aber nach theoretischen Schätzungen kann er riesig sein. Angreifer können die Zugangsdaten auf dem Exchange-Server fälschen und sogar andere Malware installieren, um die Daten weiter zu stehlen.

Antwort von Microsoft und BSI

Microsoft hat bereits mit einem Blogbeitrag auf das Problem reagiert. Darin sprachen sie über das Problem und kündigten an, es so schnell wie möglich zu beheben. Das BSI warnt vor Angriffen und hat Schutzhinweise vorgelegt.

Es ist wichtig zu beachten, dass die in diesen Berichten präsentierten Daten keinen angemessenen Schutz bieten. Insbesondere wenn Ihr System bereits unbemerkt mit bösartiger Software infiziert ist. Außerdem werden die Empfehlungen fast täglich aktualisiert, was für Verwirrung sorgen kann.

Verfügbare Schutzlösungen

Microsoft veröffentlicht die aktuellsten Minderungsmaßnahmen in seinem Blog. Im Allgemeinen umfassen sie das Deaktivieren von Einstellungen im IIS-Manager mithilfe regulärer Ausdrücke, das Konfigurieren des Exchange Emergency Mitigation Service (EEMS) und das Einschränken der Powershell-Funktionalität. Schritt-für-Schritt-Anleitungen mit den wichtigsten Tipps werden dort auch beschrieben.

Wie der Angriff ausgeführt wird

Der Angriff erfolgt in mindestens zwei Phasen, theoretisch können es aber auch mehr sein. Gleichzeitig wird der Verlust mit jeder neuen Stufe zunehmen. Zunächst versuchen Angreifer, eine legitime Serverfunktion auszunutzen. Beispielsweise suchen sie automatisiert nach Servern, die die automatische Erkennung aktiviert haben. Bei Erfolg nutzen sie eine andere Schwachstelle aus, die es ihnen ermöglicht, Code in Powershell aus der Ferne auszuführen. Dies gibt Angreifern die Möglichkeit, weitere Schadsoftware herunterzuladen. Kontaktieren SIe uns, und wir helfen Ihnen die Angiffsfläche zu minimieren, um potentiellen Schaden gering zu halten.