WinRAR-Schwachstelle ermöglicht Angreifern die volle Kontrolle über Windows-PCs

Microsoft hat einen Angriff vom März auf Windows-Kunden im Satelliten- und Kommunikationssektor mit "ungewöhnlichen, interessanten Techniken" beschrieben, die die Markenzeichen der APT-Gruppe MuddyWater tragen.  Das Office 365 ATP des Unternehmens holte Archivdateien (ACE-Dateien) ab, die mit dem kürzlich entdeckten WinRAR-Fehler CVE-2018-20250 geladen waren, der in den letzten Monaten bei Cyberkriminellen und nationalstaatlichen Hackern weit verbreitet wurde.

Der Fehler wurde für Hacking ausgewählt, nachdem ein Bericht der israelischen Sicherheitsfirma Check Point vom 20. Februar ergab, dass eine bösartige ACE-Datei nach der Extraktion durch WinRAR überall auf einem Windows-PC Malware platzieren könnte. Zu den Standorten gehört der Windows-Startordner, in dem die Malware bei jedem Neustart automatisch ausgeführt wird.

Einen Monat vor dem Bericht von Check Point veröffentlichten die WinRAR-Entwickler eine neue Version, die die Unterstützung für ACE eingestellt hat, weil sie eine Bibliothek in WinRAR namens Unacev2.dll nicht aktualisieren konnte, die einen Fehler bei der Verzeichnisdurchquerung enthielt. Bis März, als dieser Angriff von Microsoft entdeckt wurde, ist es jedoch wahrscheinlich, dass ein großer Teil der 500 Millionen WinRAR-Benutzer der Welt nicht auf die Nicht-ACE-Version aktualisiert oder die anfällige DLL nicht entfernt hatten.   

Die Aktivitäten der MuddyWater-Gruppe wurden erstmals 2017 entdeckt. Es ist bekannt, dass sie sich an Benutzer im Nahen Osten, Europa und den USA richtet. Die Gruppe verschärft häufig Phishing-Dokumente, um so zu tun, als ob sie von Sicherheitsdiensten verschiedener Regierungen stammen.  Der vom Office 365 ATP Research Team detaillierte Angriff erfolgte per Spear-Phishing-E-Mail, angeblich vom Außenministerium (MFA) der Islamischen Republik Afghanistan. In der E-Mail wurden "sehr spezifische Ziele" für Ressourcen, Telekommunikationsdienste und Satellitenkarten genannt.

Das in der Kampagne verwendete Social Engineering wurde entwickelt, um eine vollständige Fernkompromittierung einer Maschine innerhalb der Grenzen des WinRAR-Exploits zu gewährleisten. Ein angehängtes Word-Dokument schlägt dem Benutzer vor, ein anderes Dokument von einem OneDrive-Link herunterzuladen, ohne Makros - eine Wahl, die wahrscheinlich getroffen wurde, um eine Erkennung zu vermeiden.

Word dient als Einstiegstor für PowerShell-Backdoor

Wenn der Link angeklickt wird, lädt er eine Archivdatei mit dem zweiten Word-Dokument herunter, diesmal mit einem bösartigen Makro. Wenn das Opfer die Sicherheitswarnung über Makros ignoriert, wird die Malware-Nutzlast an den PC geliefert. Das Dokument enthält auch eine Schaltfläche "Nächste Seite", die eine gefälschte Warnung anzeigt, dass eine bestimmte DLL-Datei fehlt und behauptet, dass der Computer neu gestartet werden muss.

Sobald das Makro aktiviert ist, sammelt ein PowerShell-Skript Informationen über das System, markiert es mit einer eindeutigen ID und sendet diese an einen Remote-Server. Das Skript ist auch der Schlüsselmechanismus für das Abrufen der bösartigen ACE-Datei mit dem Exploit für CVE-2018-20250, die eine Payload namens dropbox.exe ablegt.

Während Check Point vermutete, dass der Startordner ein idealer Ort ist, um die Malware zu platzieren, stellt Microsoft fest, dass es möglich ist, die Datei in bekannte oder vordefinierte SMB-Ordner zu verschieben. In diesem Fall wird die Datei dropbox.exe jedoch in den Startordner verschoben, sobald der Benutzer versucht, eine von drei JPEG-Dateien innerhalb des ACE-Archivs zu extrahieren.

Die Lüge über eine fehlende DLL-Datei und die Notwendigkeit, den Computer neu zu starten, liegt darin, dass CVE-2018-20250 der Malware nur erlaubt, Dateien in einen bestimmten Ordner zu schreiben, aber nicht sofort ausgeführt werden kann, erklärt Plantado. Deshalb war es ideal, die Nutzlast in den Startordner zu legen, da sie nach dem Neustart des Computers gestartet wird. "Die Payload dropbox.exe führt die gleichen Aktionen durch wie die bösartige Makrokomponente, wodurch sichergestellt wird, dass die PowerShell-Backdoor läuft", erklärt Plantado.

"Die PowerShell-Hintertür könnte es einem entfernten Angreifer ermöglichen, die volle Kontrolle über den gefährdeten Computer zu übernehmen und ihn zu einem Startfeld für bösartige Aktionen zu machen. Das Aufdecken und Stoppen der Angriffe in einem frühen Stadium ist entscheidend, um zusätzliche, typischerweise schädlichere Auswirkungen unentdeckter Malware-Implantate zu verhindern."    

Der Microsoft-Sicherheitsanalytiker stellt fest, dass das bösartige Makro fortschrittliche Techniken verwendet hat, um der Erkennung zu entgehen, einschließlich der Verwendung der Microsoft-eigenen Scripting-Engine.  In einem Schritt führt das Makro wscript.exe aus, um das PowerShell-Skript zur Laufzeit zu starten.

"Das PowerShell-Skript selbst berührt die Festplatte nicht und ist somit eine dateifreie Komponente der Angriffskette. Living-off-the-land, die Technik der Nutzung von Ressourcen, die bereits auf dem System verfügbar sind (zB wscript.exe), um bösartigen Code direkt im Speicher auszuführen, ist eine weitere Möglichkeit, dass dieser Angriff versucht, die Erkennung zu umgehen", schreibt Plantado.