In der Presse kursieren Meldungen über eine Sicherheitslücke in der Kompressionsbibliothek von WinRAR, die dazu genutzt werden konnte, Sicherheitslösungen zu kompromittieren. Die betroffenen Komponenten sind bereits ausgetauscht - es besteht also kein Grund zur Panik.
Eins der wichtigsten Einfallstore für Schadprogramme sind Sicherheitslücken in Software. Unter bestimmten Bedingungen können Angreifer sich darüber unbemerkt Zugriff auf die Rechner verschaffen. Als besonders gravierend werden Sicherheitslücken angesehen, die in Sicherheitslösungen wie Antiviren-Software oder Firewalls vorkommen. Anfang Mai war der Windows Defender betroffen und Anfang Juni wurde von Thomas Dullien eine Sicherheitslücke in WinRAR-Bibliotheken gemeldet, die auch in Antiviren-Software eingesetzt werden. Das hört sich schlimmer an als es ist.
Archive
Archive dienen dazu, mehrere Dateien zusammenzufassen und sie zu komprimieren, um Speicherplatz zu sparen. Die am weitesten verbreiteten Formate sind ZIP, RAR und 7z. Bei der Verarbeitung von RAR-Archiven mit den Bibliotheken von WinRAR hatte sich ein Fehler eingeschlichen, der 2012 von Sophos behoben wurde, in WinRAR aber bis vor Kurzem überlebt hat. Am 9.6.2017 wurde Details über die Sicherheitslücke von Thomas Dullien (aka Halvar Flake) von Google's Project Zero veröffentlicht. Die Bibliotheken werden nicht nur von WinRAR genutzt, sondern auch in vielen anderen Programmen, die das Entpacken von RAR-Archiven unterstützen - auch einige Komponenten in G DATA-Lösungen . Die Gefahr, die von dieser Sicherheitslücke ausgeht, ist jedoch gebannt. Einige der Fehler waren bereits vorher behoben und die noch offenen Fehler wurden umgehend behoben. Zwei Tage nach der Veröffentlichung wurden die Komponenten aktualisiert und mit den Signaturen zu den Kunden ausgerollt.
Somit besteht für G DATA-Kunden keine Gefahr.
Und nun?
RAR Archive werden in vielen Anwendungen unterstützt. In der Meldung von Googles Project Zero ist Source Code beigefügt, der Software-Hersteller dabei unterstützt die Sicherheitslücke zu beheben. In der nächsten Zeit sollte man beim Umgang mit RAR Archiven umsichtig sein und die Software, die dazu genutzt wird auf dem aktuellen Stand halten.
Sicherheitslücken und Exploits - zwei Paar Schuhe
In der Berichterstattung über Schwachstellen in Software werden die Begriffe "Sicherheitslücke" und "Exploit" häufig in einen Topf geworfen und synonym benutzt. Hier sollte man aber genauer differenzieren, weil davon die Gefährlichkeit einer Schwachstelle abhängt. Eine Sicherheitslücke lässt sich zunächst nicht ohne weiteres für einen Angriff auf einen Rechner ausnutzen. Dank der vielen Schutzmaßnahmen des Betriebssystems und Sicherheitslösungen wird das Ausnutzen einer Sicherheitslücke oftmals verhindert oder zumindest erschwert. Erst, wenn ein funktionierender Exploit erstellt wurde, ist die Sicherheitslücke als gefährlich anzusehen. Häufig werden IT-Sicherheitsforscher, die Sicherheitslücken melden, dazu aufgefordert zusammen mit ihrem Bericht einen funktionierenden Exploit vorzulegen, der die Erkenntnisse bestätigt. Man spricht hier von einem Proof of Concept oder einer Machbarkeitsstudie). Diese Exploits sind dann idealerweise nur dem IT-Sicherheitsforscher und dem Hersteller der Software bekannt. Erst, wenn solche Exploits von Kriminellen genutzt werden, sind sie eine echte Gefahr. Die meisten Sicherheitslücken (insbesondere solche in Antiviren-Software) erreichen dieses Stadium gar nicht erst. Um Meldungen über Sicherheitslücken richtig einzuordnen, sollte man sich klar machen, ob es sich um eine Sicherheitslücke mit Gefahrenpotential handelt oder ob es einen Exploit gibt, aktiv eingesetzt wird, etwa in in einem Exploit Kit. Es spielt dabei auch eine Rolle, welche Auswirkungen ein Exploit hat, wenn er zur Ausführung kommt: erlaubt ein Exploit etwa die Ausführung von Programmcode, ist er je nach Umgebung als kritischer einzustufen als ein Exploit, der lediglich eine Anwendung zum Absturz bringt.
