Die CVE-2024-20697 Schwachstelle erlaubt es Angreifern, in Windows 11 und Windows Server 2022 beliebigen Code auszuführen. Dieser Fehler liegt in der Libarchive-Bibliothek, die in Microsoft Windows integriert ist. Die Schwachstelle nutzt unzureichende Überprüfungen der Blocklänge eines RARVM-Filters aus.
Gefahr durch RAR-Archive
RAR-Dateien stellen eine Gefahr dar, da sie Cyberkriminellen ein Einfallstor bieten können.
Der betroffene Filter wird bei der Verarbeitung komprimierter Daten in RAR-Archiven eingesetzt und ist speziell auf die Intel E8-Vorverarbeitung ausgerichtet. Microsoft hat diese Schwachstelle im Januar 2024 behoben und empfiehlt dringend, den entsprechenden Patch zu installieren, um das Risiko einer Ausnutzung zu minimieren. Darüber hinaus wird dringend empfohlen, keine RAR-Dateien aus unbekannten Quellen zu öffnen und den Netzwerkverkehr entsprechend zu filtern, um weiterhin geschützt zu bleiben.
Funktionsweise der Schwachstelle
Ein entfernter Angreifer könnte diese Sicherheitslücke ausnutzen, indem er ein manipuliertes RAR-Archiv verwendet. Beim Extrahieren durch einen Nutzer könnte dann beliebiger Code im Kontext der Anwendung ausgeführt werden, die die betroffene Bibliothek nutzt. Die Anfälligkeit basiert darauf, dass bei der Verarbeitung eines RARVM-Filters ein Integer-Überlauf auftreten kann, wenn das Feld für die Blocklänge nicht ausreichend überprüft wird. Dies kann zu Speicherzugriffsverletzungen führen und die Tür für weitere schädliche Aktionen öffnen.
Maßnahmen zum Schutz vor Angriffen
Zur Erkennung von Angriffen, die diese Schwachstelle ausnutzen, sollten Überwachungssysteme den Datentransfer auf gängigen Ports überwachen und speziell nach RAR-Dateien suchen. Dabei sollte die Struktur dieser Dateien analysiert werden, um verdächtige Muster zu identifizieren. Dazu gehört die Suche nach spezifischen Bytefolgen und die Überprüfung auf die Verwendung gefährdeter Filtertypen in den dekomprimierten Daten.