ACE-Format: Kritische Lücke in WinRAR erst nach 14 Jahren entdeckt

[HolgerK]

https://www.heise.de/security/meldung/Uralt-Bugs-in-WinRAR-lassen-Schadcode-auf-Computer-4314420.html
https://www.computerbase.de/2019-02/ace-format-kritische-luecke-winrar/

Imho benutzt TC dieselbe unace2.DLL wie winrar! (version 2.6.0.0 von ???)

Wird zwar nur vom 32 Bit TC unterstütz(?), und ich selber weiss gar nicht mehr wann ich zuletzt ein solchee Format gesehen habe, aber vielleicht sollte TC dann wie WInrar das selbst auch nicht mehr unterstützten (oder allerhöchstens mit einer entsprechenden Warnung).

Gruss
Holger

[ghisler(Author)]

Nach meinen Abklärungen sollte TC nicht betroffen sein, weil er die Pfade relativ zum Zielverzeichnis verwendet. Leider kann ich nirgends ein Testarchiv mit dem Problem finden, und selber erzeugen geht nicht, weil dann die Quersumme nicht mehr stimmt und das Entpacken fehlschlägt. Hat jemand ein Testarchiv?

[Nemo_G]

Hallo,

Für die auch vom TC eingebrachte Unacev2.DLL habe ich bei CB empfohlen, sie einfach umzubenennen oder gar zu löschen.
Ein entsprechendes RENAME habe ich jetzt auch in meine Installationsprozedur eingefügt.

Testen kann ich es mangels *.ACE nicht; solch eine ist mir auch in Jahrzehnten nicht untergekommen.
Eine Fehlermeldung oder Programmabbruch wäre das kleinere Übel gegenüber dem Unterjubeln irgendeiner Schad-SW.

Gruß, Nemo

[HolgerK]

Hat jemand ein Testarchiv?

Vielleicht der Entdecker der Lücke?
https://research.checkpoint.com/extracting-code-execution-from-winrar/

Gruss
Holger

[HolgerK]

Für die auch vom TC eingebrachte Unacev2.DLL habe ich bei CB empfohlen, sie einfach umzubenennen oder gar zu löschen.

Das war auch meine erste Reaktion @Work auf diese Meldung.
Globale Suche mit dem TC nach "UNACEV2.DLL" und Rename mit den MUT.

Gruss
Holger

[Frizz]

Für jene, die XnView als Betrachter verwenden, die Datei ist auch in der Version 2.47 aktuell zu finden.
Gruß Frizz

[norfie²]

Meinereiner hat die unacev2.dll rigoros gelöscht. Ich wüsste nicht, dass ich jemals ACE-Archive gehabt hätte. Ansonsten sollte man m.E. nach Kenntnis der jetzigen Lücke das Risiko nicht eingehen, dass einem irgendwer ein komprimittiertes ACE-Archiv unterjubelt. Meine Empfehlung nach 14 Jahren toter Software: entfernen. Wer es wirklich noch braucht, kann sich eine "alte" TCmd-Version installieren.

[ghisler(Author)]

Ich konnte nun selbst eine Test-Archivdatei erzeugen, indem ich die geändert CRC-Quersumme selber berechnet und in die Datei geschrieben habe.
Resultat: Total Commander ist betroffen, allerdings nur in einer Funktion:
1. Entpacken des gesamten Archives mit Alt+F9: betroffen, Dateien können ins falsche Verzeichnis entpackt werden
2. Entpacken mit Enter, markieren, F5: nicht betroffen, Dateien werden übersprungen
3. Suche nach Text in Archiven: nicht betroffen, weil Dateien ohne Pfad entpackt werden
4. Archive testen: Nicht betroffen
5. Die 64-bit-Version ist generell nicht betroffen, weil die dll nur in 32-bit vorhanden ist

Damit also der Fehler in der DLL auftreten kann, muss man erst eine solche manipulierte Datei herunterladen, und diese dann auch noch mit Alt+F9 entpacken. Wer ganz auf Nummer sicher gehen will, kann die UNACEV2.DLL löschen. Ich habe eine Lösung für die nächste TC-Version gefunden, wo solche Dateien übersprungen bzw. gelöscht werden.

[norfie²]

@ghisler(Author)
Besteht die Möglichkeit, die Datei zwecks Test zu erhalten?
Was passiert, wenn das komprimittierte ACE-Archiv die Endung ZIP, RAR, ... hat?

[ghisler(Author)]

Hier eine Testdatei:
https://plugins.ghisler.com/test/testfile.ace

Diese enthält einen Pfad in der Form: C:\C:C:..\b\b.txt

Beim Entpacken mit Alt+F9 wird im Vaterverzeichnis des aktiven Verzeichnisses (current directory) ein Ordner 'b' angelegt, und darin eine Datei b.txt. Das aktive Verzeichnis ist nicht unbedingt eines der angezeigten.

Die DLL filtert zwar Pfade in der Form \..\ oder /../ heraus, nicht aber ../ in der Mitte.

[norfie²]

Danke.

5. Die 64-bit-Version ist generell nicht betroffen, weil die dll nur in 32-bit vorhanden ist

Out-of-the-box ist ausschließlich die 32-bit-Version betroffen.
Wenn jemand bei der 64-bit-Version einen Entpacker wie z.B. das ungepatchte WinRAR konfiguriert, dann ist indirekt auch TCmd wieder im Boot.

Eine Änderung der Dateierweiterung hat keinen Einfluss. Man kann also einfach ein ACE-Archiv als ZIP-Archiv "tarnen".

[ghisler(Author)]

Nein, TC verwendet UnRAR nicht für ACE-Archive.

[norfie²]

UnRAR kann wahrscheinlich auch gar keine ACE-Archive entpacken. Aber man kann TCmd (auch die 64-Bit-Version) so konfigurieren, dass bei ACE-Archiven WinRAR genommen wird (Konfigurieren - Einstellungen - Packer - ACE - "Winrar.exe" eintragen).

[ghisler(Author)]

Ich habe die unacev2 dll gepatcht, so dass sie nicht mehr für den Fehler anfällig ist. Dabei bricht die DLL den Entpackvorgang sofort ab, wenn Sie die Zeichenkette ../ oder ..\ im Pfadnamen findet. Dabei werden fälschlicherweise auch Verzeichnisse mit Namen "test.." als gefährlich erkannt. Da solche Namen aber normalerweise nicht unter Windows vorkommen, ist das besser als die Sicherheitslücke.

Download hier:
https://www.totalcommander.ch/win/unacev2_fixed.zip

Installation: Im Total Commander auf unacev2_fixed.zip doppelklicken.

[norfie²]

Heise meldet, dass die ACE-Lücke aktiv ausgenutzt wird.
https://www.heise.de/security/meldung/Jetzt-patchen-Angreifer-schieben-Backdoor-durch-WinRAR-Luecken-4319998.html

Es wurde WinRAR 5.70 veröffentlicht, welche die Lücke nicht mehr aufweist. Andere Programme, welche (ungepatchte) unacev2.dll verwenden, sind jedoch ebenso betroffen.