Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Sicherheitsrisiko WinRAR-Sicherheitslücke CVE-2025-6218

WinRAR-Sicherheitslücke CVE-2025-6218

Von Mezo in Sicherheitsrisiko, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Die US-amerikanische Cybersicherheitsbehörde CISA hat eine Sicherheitslücke im Dateikomprimierungsprogramm WinRAR offiziell in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Die Behörde verwies auf Hinweise, dass die Schwachstelle aktiv ausgenutzt wird, was sowohl bei Unternehmen als auch bei Einzelnutzern Besorgnis auslöst.

Die Schwachstelle, die unter CVE-2025-6218 mit einem CVSS-Wert von 7,8 geführt wird, ist eine Path-Traversal-Sicherheitslücke, die es einem Angreifer ermöglicht, Code im Kontext des aktuellen Benutzers auszuführen. Für eine erfolgreiche Ausnutzung muss das Ziel entweder eine schädliche Website besuchen oder eine speziell präparierte Datei öffnen.

Details zum Fehler und Patch-Status

RARLAB hat diese Sicherheitslücke in WinRAR 7.12, veröffentlicht im Juni 2025, behoben. Der Fehler betrifft nur Windows-basierte Versionen; Versionen für Unix, Android und andere Plattformen sind weiterhin nicht betroffen.

Die Sicherheitslücke ermöglicht es Angreifern, Dateien an sensiblen Systemorten, wie beispielsweise dem Windows-Autostartordner, zu platzieren, was möglicherweise bei der nächsten Systemanmeldung eine unbeabsichtigte Codeausführung auslöst.

Aktivitäten von Bedrohungsakteuren

Mehrere Cybersicherheitsberichte weisen darauf hin, dass CVE-2025-6218 von drei verschiedenen Bedrohungsakteuren ausgenutzt wurde:

  • GOFFEE (Papier-Werwolf)
  • Bitter (APT-C-08 / Manlinghua)
  • Gamaredon
  • GOFFEE-Kampagnen

Im Juli 2025 kombinierte GOFFEE angeblich CVE-2025-6218 mit CVE-2025-8088, einer weiteren schwerwiegenden WinRAR-Path-Traversal-Schwachstelle (CVSS-Wert 8,8), um Unternehmen über Phishing-E-Mails anzugreifen. Diese Angriffe deuten auf eine koordinierte und ausgeklügelte Vorgehensweise zur Kompromittierung von Unternehmensumgebungen hin.

Bittere APT-Ausnutzung

Die auf Südasien fokussierte APT-Gruppe Bitter nutzte die Sicherheitslücke aus, um sich dauerhaft auf kompromittierten Systemen einzunisten und mithilfe eines schlanken Downloaders einen C#-Trojaner einzuschleusen. Der Angriff erfolgte über ein RAR-Archiv namens „Provision of Information for Sectoral for AJK.rar“, das ein harmloses Word-Dokument und eine schädliche Makrovorlage enthielt.

Zu den wichtigsten Mechanismen des Angriffs gehören:

  • Durch das Hinzufügen der Datei Normal.dotm zum globalen Vorlagenpfad von Microsoft Word wird sichergestellt, dass das Makro bei jedem Öffnen von Word automatisch ausgeführt wird.
  • Umgehung der standardmäßigen E-Mail-Makroschutzmechanismen für Dokumente, die nach der Kompromittierung empfangen werden.
  • Dadurch kann der Trojaner einen externen C2-Server unter johnfashionaccess.com kontaktieren, was Keylogging, Screenshot-Aufnahmen, den Diebstahl von RDP-Zugangsdaten und die Exfiltration von Dateien ermöglicht.

Diese Archive werden hauptsächlich über Spear-Phishing-Kampagnen verbreitet.

Gamaredon-Ausbeutung

Die russische Gamaredon-Gruppe nutzte CVE-2025-6218 auch für Phishing-Angriffe auf ukrainische Militär-, Regierungs-, Politik- und Verwaltungseinrichtungen. Die Schadsoftware mit dem Namen Pteranodon wurde erstmals im November 2025 entdeckt.

Die Beweislage deutet darauf hin, dass es sich nicht um eine opportunistische Aktivität handelt. Vielmehr handelt es sich um strukturierte, militärisch ausgerichtete Spionage und Sabotage, die wahrscheinlich vom russischen Staatsgeheimdienst koordiniert wird. Darüber hinaus nutzte Gamaredon die Sicherheitslücke CVE-2025-8088 aus, um Visual Basic Script-Malware zu verbreiten und einen zerstörerischen Wiper namens GamaWiper einzusetzen. Dies markiert den ersten beobachteten Übergang der Gruppe von Spionage zu destruktiven Operationen.

Wichtigste Erkenntnisse für Sicherheitsteams

Organisationen und Sicherheitsteams sollten den folgenden Maßnahmen Priorität einräumen:

  • Stellen Sie sicher, dass alle Windows-Systeme, auf denen WinRAR ausgeführt wird, auf Version 7.12 oder höher aktualisiert sind.
  • Seien Sie wachsam gegenüber Phishing-Kampagnen, insbesondere gegenüber Spear-Phishing-E-Mails, die RAR-Archive oder Word-Dokumente enthalten.
  • Achten Sie auf verdächtige Aktivitäten, die auf persistente Hintertüren, Keylogging oder C2-Kommunikationsversuche hindeuten könnten.
  • Man muss sich bewusst sein, dass staatlich geförderte Akteure mehrere Schwachstellen für gezielte Angriffe kombinieren können.

Proaktives Patching, die Einhaltung der E-Mail-Sicherheitsstandards und die Überwachung von Endgeräten sind entscheidend, um diese fortgeschrittenen Bedrohungen abzuwehren und die betrieblichen Auswirkungen ausgenutzter Schwachstellen wie CVE-2025-6218 zu begrenzen.

Im Trend

Am häufigsten gesehen

Wird geladen...