CVE-2025-8088 WinRAR-Schwachstelle
Sicherheitsforscher haben die weitverbreitete Ausnutzung einer mittlerweile behobenen kritischen Sicherheitslücke in RARLAB WinRAR durch verschiedene Angreifer aufgedeckt. Sowohl staatliche Akteure als auch finanziell motivierte Gruppen nutzten die Schwachstelle, um sich Zugang zu Zielsystemen zu verschaffen und eine Vielzahl von Schadprogrammen einzuschleusen. Obwohl die Sicherheitslücke im Juli 2025 geschlossen wurde, wird sie weiterhin in unterschiedlichsten Bereichen ausgenutzt, was die anhaltenden Risiken ungepatchter Software verdeutlicht.
Inhaltsverzeichnis
CVE-2025-8088: Technischer Überblick und Auswirkungen
Die unter CVE-2025-8088 geführte Sicherheitslücke mit einem CVSS-Wert von 8,8 wurde in WinRAR Version 7.13, veröffentlicht am 30. Juli 2025, behoben. Durch Ausnutzung dieser Schwachstelle kann beliebiger Code ausgeführt werden, indem speziell präparierte Archivdateien in anfälligen Versionen der Software geöffnet werden. Die Ursache ist eine Pfadtraversierungslücke, die es Angreifern ermöglicht, Dateien an sensiblen Orten, insbesondere im Windows-Autostart-Ordner, abzulegen. Dies ermöglicht eine unbemerkte Persistenz und die automatische Ausführung des Codes beim Neustart des Systems und bei der Benutzeranmeldung.
Diese Ausnutzungstechnik spiegelt eine umfassendere Verteidigungslücke in Bezug auf grundlegende Sicherheitspraktiken bei Anwendungen und das Bewusstsein der Endbenutzer wider.
Vom Null-Tag zum N-Tag: Die Evolution der Angriffe
Die Sicherheitslücke wurde bereits am 18. Juli 2025 als Zero-Day-Exploit ausgenutzt, insbesondere von der Gruppe RomCom (auch bekannt als CIGAR oder UNC4895), die zwei Ziele verfolgte. Dabei wurde eine Variante der Malware SnipBot (NESTPACKER) verbreitet. Forscher bringen ähnliche Aktivitäten auch mit dem Cluster UNC2596 in Verbindung, der mit den Angriffen der Cuba-Ransomware in Verbindung steht.
Nach der öffentlichen Bekanntgabe und Behebung der Sicherheitslücke entwickelte sich diese rasch zu einer weit verbreiteten Ausnutzung. Angreifer schleusten Schadsoftware, oft Windows-Verknüpfungen (LNK), die in alternativen Datenströmen (ADS) versteckt waren, in Köderdateien ein. Nach dem Extrahieren wurden diese Dateien in vordefinierten Systempfaden abgelegt und nach einem Neustart automatisch ausgeführt.
Operationen von Nationalstaaten weiten Ausbeutung aus
Mehrere regierungsnahe Bedrohungsgruppen haben CVE-2025-8088 in aktive Kampagnen integriert. Insbesondere russisch-nahe Akteure haben maßgeschneiderte Köder und sekundäre Nutzdaten eingesetzt, um sowohl Spionage- als auch Sabotageziele zu verfolgen:
- Sandworm (auch bekannt als APT44 oder FROZENBARENTS) setzte Archive ein, die ukrainische Köderdateien enthielten, zusammen mit bösartigen LNK-Payloads, die dazu dienten, zusätzliche Komponenten abzurufen.
- Gamaredon (auch bekannt als CARPATHIAN) zielte auf ukrainische Regierungsstellen ab und nutzte dafür RAR-Archive, die als erste Stufe HTML Application (HTA)-Downloader lieferten.
- Turla (auch bekannt als SUMMIT) nutzte die Sicherheitslücke aus, um das Malware-Framework STOCKSTAY zu verbreiten, wobei Social-Engineering-Themen im Zusammenhang mit ukrainischen Militär- und Drohnenaktivitäten eingesetzt wurden.
Parallel dazu hat ein in China ansässiger Bedrohungsakteur dieselbe Sicherheitslücke ausgenutzt, um Poison Ivy zu installieren. Die Schadsoftware wird über ein Batch-Skript verbreitet, das in den Windows-Autostartordner abgelegt und so konfiguriert ist, dass es einen sekundären Dropper herunterlädt.
Finanziell motivierte Kampagnen und kommerzielles Targeting
Cyberkriminelle Gruppen nutzten die Sicherheitslücke schnell aus, um handelsübliche Remote-Access-Trojaner (RATs) und Datendiebstahlprogramme gegen Unternehmen einzusetzen. Zu den beobachteten Schadprogrammen gehören von Telegram-Bots gesteuerte Hintertüren sowie Malware-Familien wie AsyncRAT und XWorm.
In einer bemerkenswerten Kampagne verbreitete eine für Angriffe auf brasilianische Nutzer bekannte Cyberkriminellengruppe eine schädliche Chrome-Erweiterung. Diese Erweiterung injizierte JavaScript in die Webseiten zweier brasilianischer Banken, um Phishing-Inhalte anzuzeigen und Benutzerdaten abzugreifen. Dies verdeutlichte die Flexibilität des durch die WinRAR-Sicherheitslücke erlangten Zugangs.
Untergrundmärkte und die Kommerzialisierung von Ausbeutung
Die rasche und weite Verbreitung von CVE-2025-8088 wird auf einen florierenden Untergrundmarkt für Exploits zurückgeführt. WinRAR-Exploits wurden Berichten zufolge für Tausende von Dollar angeboten, was den Einstieg für eine Vielzahl von Akteuren deutlich erleichterte. Ein Anbieter, der unter dem Pseudonym „zeroplayer“ agierte, vermarktete einen WinRAR-Exploit in den Wochen vor der Veröffentlichung von CVE-2025-8088.
Die fortgesetzte Rolle von Zeroplayer als Upstream-Anbieter verdeutlicht die Kommerzialisierung des Angriffslebenszyklus, bei der schlüsselfertige Exploit-Funktionen die Entwicklungskosten senken und es Gruppen mit unterschiedlichen Motivationen ermöglichen, anspruchsvolle Operationen durchzuführen.
Ein umfassenderes Muster: Weitere WinRAR-Schwachstellen im Visier
Diese Aktivität fällt zeitlich mit Ausnutzungsversuchen einer weiteren WinRAR-Schwachstelle, CVE-2025-6218 (CVSS-Wert: 7,8), zusammen. Mehrere Angreifer, darunter GOFFEE, Bitter und Gamaredon, nutzten diese separate Schwachstelle aus, was die anhaltende Bedrohung durch sogenannte n-Day-Schwachstellen und die Geschwindigkeit, mit der Angreifer neu entdeckte Schwachstellen ausnutzen, unterstreicht.
Strategische Implikationen für Verteidiger
Der anhaltende Missbrauch von gepatchten WinRAR-Sicherheitslücken unterstreicht die Bedeutung eines zeitnahen Patch-Managements, von Schulungen zur Sensibilisierung der Nutzer und der Überwachung auf Persistenzmechanismen wie unautorisierte Dateien in Autostartverzeichnissen. Das Zusammenwirken von staatlich geförderter und krimineller Ausnutzung verdeutlicht zudem, wie schnell kritische Sicherheitslücken zu gemeinsam genutzten Ressourcen in der Bedrohungslandschaft werden.
