News ACE-Format: Kritische Lücke in WinRAR erst nach 14 Jahren entdeckt

[Valeria]

https://www.rarlab.com/rarnew.htm (v5.70 Punkt 21)
Mit WinRAR 5.70 wurde nun der ACE-Support offiziell gestrichen.
https://www.computerbase.de/downloads/office/packprogramme/winrar/

@Frank
Muss nur noch der Abschnitt:

Unterstützte Formate in WinRar
RAR, ZIP, 7-Zip, ACE, ARJ, BZ2, CAB, GZip, ISO, JAR, LZ, LZH, TAR, UUE, XZ, ZIPX, 001

geändert werden.

 

[GokuSS4]

Hier das ganze in Aktion: https://twitter.com/360TIC/status/1099987939818299392

Possibly the first malware delivered through mail to exploit WinRAR vulnerability. The backdoor is generated by MSF and written to the global startup folder by WinRAR if UAC is turned off. https://www.virustotal.com/#/file/7871204f2832681c8ead96c9d509cd5874ed38bcfc6629cbc45472b9f388e09c/detection … IOC: hxxp://138.204.171.108/BxjL5iKld8.zip 138.204.171.108:443

 

[Arcturus128]

Hier wurde ja mehrmals angesprochen, dass es ein Problem darstellen würde, wenn Virenscanner die DLL nutzen würden. Warum sollte das denn so sein, verstehe es nicht ganz?

 

[Smurfy1982]

Vermutlich weil die Scanner auch nichts anderes machen als das Archiv zu entpacken, bevor sie es scannen können. Und da dies mittels unacev2.dll geschieht...

Je nach Implementation kann der Scanner das auch in einer Sandbox durchführen. Darauf verlassen würde ich mich nicht.

 

[deo]

Winrar habe ich entsorgt, weil ich das Programm gar nicht mehr genutzt habe in den letzten Jahren.
TotalCommander habe ich hingegen mit der UNACEV2.dll aus der RC1 gepatched. Das ist mir wichtig und läuft immer.

 

[Frank]

Artikel-Update: Wie McAfee berichtet, wird die Lücke in älteren Versionen als WinRAR 5.70 inzwischen ausgenutzt. Prominent verteilt wird Malware beispielsweise über eine vermeintliche Raubkopie des Albums Thank U, Next von Ariana Grande mit der Bezeichnung Ariana_Grande-thank_u,next(2019)[320].rar.

Wer noch eine ältere Version von WinRAR einsetzt, kann inzwischen auf eine finale Fassung von WinRAR 5.70 setzen, die das Betaprogramm verlassen hat.

 

[A.l.e.x]

Einfach sämtliche ACE Plugins löschen, zack fertig.

 

[Cool Master]

Oder einfach die Software aktualisieren........

 

[JackTheRippchen]

@Frank
Auf der WinRAR-Downloadseite von CB muss es dann noch korrigiert werden:

 

[Hc-Yami]

Unerhört, da zahle ich seit Jahren für eine WinRAR Version und dann passiert sowas. #nichtsistlängeralsdiewinrartestversion

 

[Sombatezib]

WinRar ist bei mir bereits auf 5.70, habe die Tage auch ein aktualisiertes Symbolbild dafür bemerkt - ich habe das allerdings nicht angestoßen, kam also von allein. xD

Zuletzt wurde das vor 2 Jahren oder so von mir aktualisiert.

 

[Fliz]

Ich muss zugeben ACE-Dateien hab ich das letzte Mal in den 90ern benutzt...

 

[Acrylium]

Unerhört, da zahle ich seit Jahren für eine WinRAR Version und dann passiert sowas. #nichtsistlängeralsdiewinrartestversion

Ich habe mir 2009 eine ganz reguläre und legale Lizenz dafür gekauft, und die gilt immer noch für die aktuellste Version. Das soll mal bitte eine andere Software erst mal nachmachen dass eine vor 10 Jahren gekaufte Lizenz auch für die dann noch neuste Version akzeptiert wird.

 

[Sombatezib]

einfach aktualisieren........

Es betrifft ja nicht nur WinRar, da die Bibliothek in einigen anderen Programmen auch enthalten ist, siehe Anfang dieses Threads zur News.

 

[T3rm1]

PS: Man kann um ganz sicher zu gehen auch die Verknüpfung von WinRAR zu ACE Dateien entfernen. Dann kann man zumindest diese nicht versehentlich direkt öffnen.

Das ist Schwachsinn und nicht zu Ende gedacht. Jede zu RAR umbenannte ACE Datei kann den Schadcode ausführen.

 

[Sennox]

Das soll mal bitte eine andere Software erst mal nachmachen dass eine vor 10 Jahren gekaufte Lizenz auch für die dann noch neuste Version akzeptiert wird.

Naja, streng genommen ist das bei Windows gerade der Fall

@T3rm1
Ganz genau!
Einfaches Szenario:
Infizierte .ace als .rar hochgeladen und fertig ist die getarnte Falle.


@Frank
Wow, danke für das Update!
Das ging schnell, überrascht aber nicht.
Gerade bei Musik natürlich fatal, ich glaube nichts wird mehr im Netz geshared, außer P0rn vielleicht

 

[T3rm1]

Klar ist das eine potentielle Gefahr. Aber eben nur für die, die mit ACE-Dateien zu tun haben.
Ich kannte das Format bis zu diesem Artikel gar nicht, .zip .rar und .7z sind die einzigen Archivdateien die ich kenne.

Was ist denn das für ein Unfug. Warum gibt es hier so viele unschlaue Menschen, die meinen, ihren Blödsinn kund zu tun. Schon mal davon gehört, dass man Dateien umbenennen kann? Schon mal überlegt, was passiert, wenn man ein ACE Archiv in .rar umbenennt?

 

[Mordhorst3k]

Um die Sicherheitslücke zu schließen, haben sich die Entwickler von WinRAR dazu entschlossen, das ACE-Format in Zukunft gar nicht mehr zu unterstützen, so dass auch die Sicherheitslücke in der UNACEV2.DLL nicht mehr Teil der Software ist, da sie keinerlei Zugriff auf den Quellcode der DLL haben.

Wie McAfee berichtet, wird die Lücke in älteren Versionen als WinRAR 5.70 inzwischen ausgenutzt. Prominent verteilt wird Malware beispielsweise über eine vermeintliche Raubkopie des Albums Thank U, Next von Ariana Grande mit der Bezeichnung Ariana_Grande-thank_u,next(2019)[320].rar.

Logik?

 

[Cempeg]

Zum entpacken mit Win10 braucht man das doch gar nicht mehr.
Zumindest fällt mir jetzt erst auf, dass ich das gar nicht erst installiert habe.

 

[Cool Master]

Es betrifft ja nicht nur WinRar, da die Bibliothek in einigen anderen Programmen auch enthalten ist, siehe Anfang dieses Threads zur News.

Wie gesagt, Software updaten und wenn es keine Updates gibt einfach die Software erneut evaluieren, ob man sie noch brauch, zumindest bis zum Update der besagten Software.