Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Sicherheitsrisiko WinRAR Zero-Day-Sicherheitslücke

WinRAR Zero-Day-Sicherheitslücke

Von Mezo in Sicherheitsrisiko, Malware
Übersetzen Sie in:

Die Entwickler des beliebten Dateiarchivierungsprogramms WinRAR haben ein dringendes Sicherheitsupdate veröffentlicht, um eine Zero-Day-Sicherheitslücke zu schließen, die aktiv ausgenutzt wird. Die Schwachstelle mit der Nummer CVE-2025-8088 und einem CVSS-Score von 8,8 ist ein Path-Traversal-Bug in der Windows-Version von WinRAR, der es Angreifern ermöglicht, beliebigen Code über speziell erstellte Archivdateien auszuführen.

Der Fix wurde in WinRAR Version 7.13 ausgeliefert, die am 31. Juli 2025 veröffentlicht wurde. Die Sicherheitsanfälligkeit betrifft nicht nur WinRAR, sondern auch RAR, UnRAR, UnRAR.dll und den portablen UnRAR-Quellcode für Windows.

So funktioniert der Exploit

Der Fehler entsteht, weil frühere Versionen von WinRAR dazu verleitet werden konnten, Dateien über einen im Archiv angegebenen schädlichen Pfad zu extrahieren, anstatt über den vorgesehenen Extraktionspfad. Dieses Verhalten kann ausgenutzt werden, um Dateien in sensiblen Systemverzeichnissen wie dem Windows-Autostart-Ordner zu platzieren, was bei der nächsten Systemanmeldung zur automatischen Codeausführung führt.

Die damit verbundene Sicherheitslücke CVE-2025-6218, die im Juni 2025 gepatcht wurde, ermöglichte auch Directory-Traversal-Angriffe. Bedrohungsakteure könnten beide Schwachstellen zusammen nutzen, um Dateipfade während der Extraktion zu manipulieren, Dateien außerhalb vorgesehener Ordner zu schreiben und Schadcode auszuführen, während sie ein Täuschungsdokument anzeigen, um das Opfer abzulenken.

Aktivitäten von Bedrohungsakteuren und Dark-Web-Links

Cybersicherheitsforscher haben die jüngste Ausnutzung von CVE-2025-8088 mit der Hackergruppe Paper Werewolf (alias GOFFEE) in Verbindung gebracht. Diese Gruppe könnte die Schwachstelle mit CVE-2025-6218 kombiniert haben, um gezielte Angriffe zu starten.

Untersuchungen ergaben, dass ein Cyberkrimineller namens „Zeroplayer“ am 7. Juli 2025 im russischsprachigen Forum Exploit.in einen angeblichen WinRAR-Zero-Day für 80.000 US-Dollar anbot. Es wird vermutet, dass Paper Werewolf diesen Exploit erlangte und ihn für reale Angriffe einsetzte.

Details der Angriffskampagne

Im Juli 2025 wurden russische Organisationen durch Phishing-E-Mails mit schädlichen Archiven angegriffen. Als die Opfer diese Dateien öffneten, nutzte die Exploit-Kette beide Schwachstellen aus, um:

  • Schreiben Sie Dateien in Verzeichnisse außerhalb des vorgesehenen Extraktionspfads.
  • Auslösen der Codeausführung ohne das Wissen des Opfers.

Ein bemerkenswertes technisches Detail ist, dass Angreifer RAR-Archive mit alternativen Datenströmen erstellten, deren Namen relative Pfade enthielten. Diese Ströme enthielten beliebige Nutzdaten und wurden, wenn sie extrahiert oder direkt aus dem Archiv geöffnet wurden, in ein beliebiges Verzeichnis auf der Festplatte geschrieben.

Nutzlastkapazitäten

Eine der identifizierten schädlichen Nutzlasten ist ein .NET-basierter Loader, der:

  • Sammelt Systeminformationen, beispielsweise den Computernamen des Opfers.
  • Sendet die Daten an einen Remote-Server.
  • Lädt zusätzliche Malware herunter, einschließlich einer verschlüsselten .NET-Assembly.

Berichten zufolge verwendet Paper Werewolf diesen Loader in Kombination mit einer Reverse Shell über Sockets, was eine direkte Kommunikation mit seiner Befehls- und Kontrollinfrastruktur ermöglicht.

Empfohlene Aktion

Benutzer von WinRAR sollten umgehend auf Version 7.13 oder höher aktualisieren, um die Risiken durch CVE-2025-8088 und CVE-2025-6218 auszuschließen. Jede Organisation, insbesondere solche, die mit sensiblen Daten arbeiten, sollte ihre E-Mail-Sicherheitsrichtlinien überprüfen, die automatische Dateiausführung aus Archiven deaktivieren und auf verdächtiges Extraktionsverhalten achten.

Im Trend

Am häufigsten gesehen

Wird geladen...