Die Schwachstelle CVE-2024-8811, bekannt als WinZip Mark-of-the-Web Bypass Vulnerability, betrifft den Mechanismus zum Schutz von Dateien durch das Mark-of-the-Web (MotW) in der Software WinZip. Angreifer können die Sicherheitsmechanismen umgehen, was zu einem potenziellen Risiko für die Benutzer führt. Die Schwachstelle wurde am 22. November 2024 veröffentlicht und wird von der Zero Day Initiative (ZDI) unter der Referenz ZDI-CAN-23983 aufgeführt.
Die Schwachstelle liegt in der fehlerhaften Behandlung von Archivdateien durch WinZip. Archivdateien, die das Mark-of-the-Web enthalten, verlieren dieses Sicherheitsmerkmal, wenn sie in WinZip geöffnet werden. Beim anschließenden Extrahieren der Dateien sind die extrahierten Inhalte ebenfalls nicht mehr durch das Mark-of-the-Web gekennzeichnet.
Das Mark-of-the-Web ist ein Schutzmechanismus in Windows, der Dateien als aus dem Internet stammend kennzeichnet. Dateien mit diesem Mark werden als potenziell unsicher eingestuft und unterliegen restriktiveren Sicherheitsrichtlinien. Durch das Entfernen des Marks können Angreifer manipulierte Dateien bereitstellen, die vom Betriebssystem als vertrauenswürdig angesehen werden.
Ein erfolgreicher Angriff erfordert Benutzerinteraktion. Das Szenario könnte wie folgt aussehen:
- Ein Benutzer wird dazu verleitet, eine bösartige Webseite zu besuchen oder eine manipulierte Archivdatei herunterzuladen.
- Beim Öffnen des Archivs in WinZip wird das Mark-of-the-Web entfernt.
- Die extrahierten Dateien können dann beliebigen Code ausführen, ohne dass die Sicherheitsmechanismen von Windows eingreifen.
Die Zero Day Initiative bewertet die Schwachstelle mit einem CVSS-Score von 7.8 (hoch). Der Vektor lautet: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. Dies bedeutet:
- Angriffsvektor (AV): Lokal (L) – Der Angriff erfordert Zugriff auf das System durch eine Datei oder ein Archiv.
- Angriffs-Komplexität (AC): Niedrig (L) – Die Ausnutzung ist technisch einfach.
- Berechtigungen (PR): Keine (N) – Es sind keine zusätzlichen Rechte erforderlich.
- Benutzerinteraktion (UI): Erforderlich (R) – Der Benutzer muss eine Aktion ausführen (z. B. das Öffnen einer Datei).
- Auswirkungen (C, I, A): Hoch – Die Vertraulichkeit, Integrität und Verfügbarkeit des Systems können erheblich beeinträchtigt werden.
Gemäß der Common Weakness Enumeration (CWE) fällt diese Schwachstelle unter CWE-693: Protection Mechanism Failure. Dies bedeutet, dass ein Schutzmechanismus nicht wie vorgesehen funktioniert, was Angreifer ausnutzen können.
Mögliche Gegenmaßnahmen
- Verhaltensmaßnahmen:
- Benutzer sollten besonders vorsichtig sein, wenn sie Dateien aus unbekannten oder nicht vertrauenswürdigen Quellen öffnen.
- Die Nutzung alternativer Archivierungsprogramme könnte in Erwägung gezogen werden, bis ein Patch verfügbar ist.
- Technische Maßnahmen:
- Implementierung von Endpoint-Security-Lösungen, die bösartige Aktivitäten bei der Dateiöffnung erkennen.
- Einschränkungen auf Systemebene, um Dateien ohne Mark-of-the-Web zusätzlich zu prüfen.
- Software-Updates:
- Anwender sollten die offizielle Webseite von WinZip und die Sicherheitsmitteilungen der Hersteller (z. B. ZDI) regelmäßig prüfen und Updates einspielen, sobald diese verfügbar sind.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: