Die Welt der digitalen Sicherheit ist ein ständiges Katz-und-Maus-Spiel, und die Winrar Version bleibt dabei ein wiederkehrendes Thema, wenn es um Sicherheitslücken geht. Dieses Dateikomprimierungsprogramm, das weltweit von Millionen genutzt wird, stand in letzter Zeit im Fokus von Cyberkriminellen, die Schwachstellen ausnutzen, um in Systeme einzudringen. Die Entwickler von WinRAR haben sich der Problematik angenommen und Releases veröffentlicht, um diese Bedrohungen zu bekämpfen, doch die fortwährende Ausnutzung verdeutlicht die Notwendigkeit ständiger Wachsamkeit.
Aktuelle Sicherheitsbedrohungen und deren Ausmaß
Erst kürzlich wurde eine kritische Sicherheitslücke in WinRAR aufgedeckt und aktiv ausgenutzt. Diese Lücke, verfolgt unter der Kennung CVE-2025-8088 mit einem hohen CVSS-Score von 8.8, ermöglichte Angreifern die Ausführung von beliebigem Code durch präparierte Archivdateien. Die Schwachstelle, die auf einen sogenannten “Path Traversal”-Fehler in der Windows-Version von WinRAR zurückzuführen ist, erlaubte es Angreifern, Dateien außerhalb des ursprünglich vorgesehenen Pfades zu platzieren. Dies könnte beispielsweise dazu genutzt werden, Schadsoftware im Autostart-Ordner von Windows abzulegen und somit bei jedem Systemstart auszuführen.
Die Entdeckung und Meldung dieser Sicherheitslücke wird den Forschern Anton Cherepanov, Peter Kosinar und Peter Strycek von ESET zugeschrieben. Dank ihrer Bemühungen wurde die Lücke in der winrar version 7.13 behoben, die am 30. Juli 2025 veröffentlicht wurde. Dies war jedoch nicht der erste Vorfall, bei dem eine Sicherheitslücke in WinRAR zu einem Zero-Day-Exploit wurde, der wild ausgenutzt wurde. Bereits im Jahr 2023 gab es eine ähnliche Schwachstelle (CVE-2023-38831), die von verschiedenen Akteuren aus China und Russland ausgenutzt wurde.
Die russische Cybersicherheitsfirma BI.ZONE hat darauf hingewiesen, dass die Hackergruppe “Paper Werewolf” (auch bekannt als GOFFEE) möglicherweise CVE-2025-8088 in Kombination mit einer früheren Lücke (CVE-2025-6218) ausgenutzt hat. Diese frühere Lücke, die im Juni 2025 behoben wurde, ermöglichte ebenfalls das Schreiben von Dateien in beliebige Verzeichnisse. Einem Bericht zufolge wurde diese Schwachstelle bereits am 7. Juli 2025 auf einem russischsprachigen Darknet-Forum für 80.000 US-Dollar zum Verkauf angeboten. Es wird vermutet, dass die Akteure von Paper Werewolf diese Lücke erworben und für ihre Angriffe genutzt haben.
Die Angriffe, wie von BI.ZONE analysiert, richteten sich gezielt gegen russische Organisationen. Phishing-E-Mails, die präparierte Archive enthielten, wurden verschickt. Beim Öffnen dieser Archive wurden die oben genannten Schwachstellen ausgenutzt, um Dateien außerhalb des Zielverzeichnisses abzulegen und Codeausführung zu ermöglichen. Währenddessen wurde dem Opfer ein scheinbar harmloses Dokument als Ablenkung präsentiert.
Die Funktionsweise dieser Angriffe basiert auf der Möglichkeit, in einer RAR-Datei Dateien mit alternativen Datenströmen (Alternative Data Streams – ADS) zu integrieren. Die Namen dieser Streams können relative Pfade enthalten und somit eine Art “Directory Traversal”-Angriff ermöglichen. Wenn ein solches Archiv entpackt oder eine angehängte Datei direkt daraus geöffnet wird, werden die Daten aus diesen alternativen Streams in beliebige Verzeichnisse auf der Festplatte geschrieben.
WinRAR Sicherheit
Die betroffenen winrar versionen umfassen alle Versionen bis einschließlich 7.12. Ab Version 7.13 ist diese spezifische Schwachstelle nicht mehr reproduzierbar.
Der RomCom-Angreifer und weitere Bedrohungen
Nicht nur Paper Werewolf hat die kritische winrar version Schwachstelle ausgenutzt. Auch die russisch affiliierte Hackergruppe RomCom setzte CVE-2025-8088 als Zero-Day-Exploit ein. Dies markierte bereits das dritte Mal, dass die Gruppe Zero-Days in ihren Angriffen verwendete, nach CVE-2023-36884 im Juni 2023 und CVE‑2024‑9680 sowie CVE‑2024‑49039 im Oktober 2024.
Die von ESET beobachteten Angriffe von RomCom lieferten verschiedene Backdoors, die von der Gruppe genutzt werden, darunter eine Variante von SnipBot, RustyClaw und der Mythic Agent. Die Kampagne zielte auf Unternehmen in den Bereichen Finanzen, Produktion, Verteidigung und Logistik in Europa und Kanada ab.
Bei diesen Angriffen wurden präparierte Archive genutzt, die neben einer legitimen Datei auch mehrere alternative Datenströme enthielten. Diese wurden für den “Path Traversal”-Angriff verwendet. Die E-Mails enthielten oft Anreize im Zusammenhang mit Lebensläufen, um die Empfänger zum Öffnen der Anhänge zu verleiten. Nach dem Öffnen des Archivs wurde eine bösartige DLL-Datei ausgeführt. Ein Windows-Verknüpfungsdatei (LNK) wurde im Autostart-Ordner platziert, um Persistenz bei jedem Systemstart zu gewährleisten. Diese DLL war dafür verantwortlich, eingebetteten Shellcode zu entschlüsseln, der dann den Weg für den Mythic Agent, eine Variante von SnipBot (auch bekannt als SingleCamper) und RustyClaw ebnete.
RustyClaw lud und führte weitere Payloads aus, darunter einen Downloader namens MeltingClaw (auch bekannt als DAMASCENED PEACOCK), der bereits zuvor genutzt wurde, um Backdoors wie ShadyHammock oder DustyHammock zu installieren. Obwohl keine der Zielorganisationen kompromittiert wurde, wie Telemetriedaten zeigten, unterstreicht dies die zunehmende Raffinesse der RomCom-Gruppe, die Zero-Day-Schwachstellen in ihre Angriffsarsenale integriert.
Auch 7-Zip betroffen
Die Enthüllungen über WinRAR kommen zu einer Zeit, in der auch 7-Zip Patches für eine eigene Sicherheitslücke veröffentlicht hat. CVE-2025-55188 mit einem niedrigeren CVSS-Score von 2.7 konnte für eine willkürliche Dateiüberschreibung ausgenutzt werden, da das Programm symbolische Links während des Entpackens anders handhabt. Dies könnte potenziell zur Ausführung von Code führen. Die Lücke wurde in Version 25.01 von 7-Zip behoben.
Ein mögliches Angriffsszenario nutzte die Lücke aus, um unbefugten Zugriff zu erlangen oder Code auszuführen, indem wichtige Dateien, wie z.B. SSH-Schlüssel oder die .bashrc-Datei eines Benutzers, manipuliert wurden. Der Angriff zielte hauptsächlich auf Unix-Systeme ab, kann aber mit zusätzlichen Voraussetzungen auch auf Windows angepasst werden. Auf Windows muss der 7-Zip-Entpackungsprozess die Fähigkeit besitzen, symbolische Links zu erstellen, beispielsweise durch Administratorrechte oder den Entwicklermodus von Windows.
Zusammenfassung und Empfehlungen
Die anhaltenden Sicherheitslücken in weit verbreiteten Archivierungsprogrammen wie WinRAR und 7-Zip unterstreichen die Notwendigkeit, stets die aktuellsten Versionen zu verwenden. Die Entwickler arbeiten kontinuierlich an der Behebung dieser Schwachstellen, doch die Bedrohungslandschaft entwickelt sich rasant weiter. Nutzer, die auf die Funktionalität von Programmen wie WinRAR angewiesen sind, sollten dringend auf die winrar version 7.13 oder höher aktualisieren. Gleichzeitig ist es unerlässlich, wachsam gegenüber Phishing-Versuchen zu bleiben, da diese oft der erste Schritt für die Ausnutzung solcher Sicherheitslücken sind. Die regelmäßige Überprüfung von Sicherheitsupdates für alle installierten Programme ist ein fundamentaler Bestandteil einer sicheren digitalen Umgebung.
Für tiefere Einblicke in Software-Sicherheitsaspekte und den Umgang mit Risiken im digitalen Raum, können Sie sich auch über Themen wie winrar deb oder rar linux download informieren, um alternative Lösungen und Strategien zu verstehen. Die Wahl der richtigen Tools und die Einhaltung bewährter Sicherheitspraktiken sind entscheidend, um Ihre digitalen Assets zu schützen. Die Auseinandersetzung mit Themen wie avast avira oder die Nutzung von Open-Source-Alternativen wie libreoffice 6.3 kann ebenfalls zu einem breiteren Verständnis von Software-Sicherheit beitragen. Auch im Browser-Bereich, wie bei mozilla firefox mac m1, sind regelmäßige Updates unerlässlich, um die Sicherheit zu gewährleisten.