Die Welt der digitalen Sicherheit ist ständig im Wandel, und wie die jüngsten Ereignisse zeigen, sind auch etablierte und weit verbreitete Programme wie WinRAR nicht immun gegen Cyberbedrohungen. Speziell die Versionen von WinRAR für Windows sind ins Visier von Angreifern geraten, die eine kritische Sicherheitslücke aktiv ausnutzen. Für Nutzer in Deutschland ist es unerlässlich, die Details zu kennen und sofortige Schutzmaßnahmen zu ergreifen.
Die kritische WinRAR-Sicherheitslücke: CVE-2025-8088 im Detail
Die Entwickler von WinRAR haben eine dringende Aktualisierung veröffentlicht, um eine Lücke zu schließen, die derzeit aktiv ausgenutzt wird. Diese Schwachstelle, bekannt unter der Kennung CVE-2025-8088, weist eine hohe kritische Bewertung (CVSS-Score: 8.8) auf. Sie betrifft die Windows-Version von WinRAR und ermöglicht es Angreifern, durch speziell präparierte Archivdateien die Ausführung von beliebigem Code auf dem System des Opfers zu erwirken.
Laut einer offiziellen Mitteilung von WinRAR kann das Programm bei der Extraktion von Dateien dazu gebracht werden, einen Pfad zu verwenden, der in einem manipulierten Archiv definiert ist, anstatt des eigentlich vorgesehenen Pfades. Diese Form der “Pfad-Traversal”-Schwachstelle kann gravierende Folgen haben, wenn sie erfolgreich ausgenutzt wird. Anton Cherepanov, Peter Kosinar und Peter Strycek von ESET werden für die Entdeckung und Meldung dieses Sicherheitsproblems anerkannt. Die Behebung erfolgte mit der Veröffentlichung von Winrar Version 7.13 am 30. Juli 2025.
Dies ist nicht das erste Mal, dass eine Sicherheitslücke in WinRAR in kurzer Zeit zum Ziel von Cyberangriffen wird. Bereits im Jahr 2023 gab es eine ähnliche Schwachstelle (CVE-2023-38831, CVSS-Score: 7.8), die intensiv – auch als Zero-Day – von verschiedenen Akteuren aus China und Russland ausgenutzt wurde.
Schadsoftware im Archiv: Die Gefahren bei der Nutzung von WinRAR
Der russische Anbieter für Cybersicherheit, BI.ZONE, hat Anzeichen dafür entdeckt, dass die Hackergruppe “Paper Werewolf” (auch bekannt als GOFFEE) die Lücke CVE-2025-8088 in Kombination mit CVE-2025-6218 ausgenutzt haben könnte. Letztere war eine Pfad-Traversal-Schwachstelle in der Windows-Version von WinRAR, die bereits im Juni 2025 behoben wurde.
Es gibt Hinweise darauf, dass bereits vor diesen Angriffen ein Akteur namens “zeroplayer” am 7. Juli 2025 auf dem russischsprachigen Darknet-Forum Exploit.in einen angeblichen WinRAR Zero-Day Exploit für 80.000 US-Dollar zum Verkauf angeboten hat. Es wird vermutet, dass die “Paper Werewolf”-Gruppe diesen Exploit erworben und für ihre Angriffe genutzt hat.
Die Schwachstelle CVE-2025-6218, die im Juni 2025 behoben wurde, ermöglichte es Angreifern, durch das Erstellen eines speziell präparierten RAR-Archivs, das eine Datei mit alternativen Datenströmen (Alternative Data Streams – ADS) enthielt, beliebige Payloads auf dem Zielsystem abzulegen. Beim Entpacken solcher Archive wurden diese Daten in beliebige Verzeichnisse auf der Festplatte geschrieben, was einem Directory Traversal Angriff gleichkam. Im Falle von CVE-2025-8088 wird die Schwachstelle durch die Ausnutzung dieser alternativen Datenströme in Verbindung mit dem Pfad-Handling des Archivierungsprogramms ermöglicht.
Die betroffenen WinRAR-Versionen reichen bis einschließlich 7.12. Ab Version 7.13 ist diese spezifische Schwachstelle nicht mehr reproduzierbar.
RomCom und weitere Akteure nutzen WinRAR-Schwachstelle aus
Die slowakische Cybersicherheitsfirma ESET hat beobachtet, wie die russisch-orientierte Gruppe RomCom bereits am 18. Juli 2025 die Schwachstelle CVE-2025-8088 als Zero-Day ausnutzte. Für RomCom ist dies bereits der dritte Einsatz von Zero-Day-Schwachstellen in ihren Angriffen, nach CVE-2023-36884 (Juni 2023) und CVE‑2024‑9680 sowie CVE‑2024‑49039 (Oktober 2024).
Die erfolgreichen Ausnutzungsversuche lieferten verschiedene Backdoors, die von der RomCom-Gruppe verwendet werden, darunter eine Variante von SnipBot, RustyClaw und den Mythic Agent. Diese Kampagne zielte auf Finanz-, Fertigungs-, Verteidigungs- und Logistikunternehmen in Europa und Kanada ab.
Die Angriffe nutzen manipulierte Archive, die neben einer unbedenklichen Datei mehrere alternative Datenströme (ADS) enthalten. Diese werden für das Pfad-Traversal ausgenutzt. Oft werden als Köder Lebenslauf-bezogene Themen verwendet, um Empfänger zum Öffnen der Anhänge zu verleiten.
Das Öffnen des Archivs löst die Ausführung einer bösartigen DLL aus. Gleichzeitig wird eine Windows-Verknüpfungsdatei (.LNK) im Autostart-Verzeichnis von Windows platziert, um die Persistenz bei jeder Anmeldung des Benutzers zu gewährleisten. Diese DLL ist für die Entschlüsselung von eingebettetem Shellcode verantwortlich, der dann den Weg für den Mythic Agent, eine SnipBot-Variante (auch SingleCamper genannt) und RustyClaw ebnet. RustyClaw ruft eine weitere Downloader-Software namens MeltingClaw (auch DAMASCENED PEACOCK) ab und führt diese aus, welche in der Vergangenheit Backdoors wie ShadyHammock oder DustyHammock auf Systemen platziert hat.
Laut ESET waren keine der angegriffenen Ziele kompromittiert, basierend auf Telemetriedaten. Dennoch zeigt dieser Vorfall die fortschreitende Entwicklung von RomCom zu einem hochentwickelten Bedrohungsakteur, der in der Lage ist, Zero-Day-Schwachstellen in sein Arsenal für gezielte Angriffe aufzunehmen.
Die Bereitschaft der RomCom-Gruppe, erhebliche Anstrengungen und Ressourcen in ihre Cyberoperationen zu investieren, unterstreicht die strategische Bedeutung von Zero-Day-Schwachstellen. Die Ausrichtung der angegriffenen Sektoren deutet auf geopolitische Motivationen hinter den Operationen hin, was typisch für russisch-orientierte APT-Gruppen ist.
Auch 7-Zip mit einer Schwachstelle – Vorsicht ist geboten
Zeitgleich mit der Enthüllung der WinRAR-Probleme hat auch 7-Zip Patches für eine Sicherheitslücke (CVE-2025-55188, CVSS-Score: 2.7) veröffentlicht. Diese Lücke konnte für das Schreiben beliebiger Dateien ausgenutzt werden, da das Programm symbolische Links während der Extraktion auf eine bestimmte Weise behandelt, was potenziell zur Ausführung von Code führen kann. Die Behebung erfolgte in Version 25.01.
In einem möglichen Angriffsszenario könnte ein Angreifer diese Schwachstelle nutzen, um sich unbefugten Zugriff zu verschaffen oder Code auszuführen, indem er sensible Dateien manipuliert, wie zum Beispiel SSH-Schlüssel oder die .bashrc-Datei eines Benutzers. Diese Angriffsmethode richtet sich primär an Unix-Systeme, kann aber mit zusätzlichen Voraussetzungen auch auf Windows adaptiert werden.
Wichtige Informationen zur WinRAR-Version
Für Nutzer in Deutschland und weltweit ist es von größter Bedeutung, die aktuelle winrar version zu verwenden. Die von den Sicherheitsexperten von ESET aufgedeckten Probleme zeigen die Notwendigkeit, stets die neueste Version von Software zu installieren. Die Lücke CVE-2025-8088 ist in WinRAR Version 7.13 geschlossen worden. Sollten Sie eine ältere Version nutzen, empfiehlt sich dringend ein Update. Dies schützt nicht nur vor den jüngsten Bedrohungen, sondern stellt auch sicher, dass Sie von allen Leistungsverbesserungen und neuen Funktionen profitieren.
Die Rolle von CAD in Deutschland und die Notwendigkeit sicherer Software
Auch wenn die hier diskutierten Sicherheitslücken WinRAR betreffen, ist die Notwendigkeit sicherer Software in allen Bereichen der deutschen Wirtschaft und des täglichen Lebens von immenser Bedeutung. Insbesondere im Bereich des technischen Designs und der Ingenieurwesen, wo Programme wie AutoCAD zum Einsatz kommen, sind zuverlässige und sichere Werkzeuge unerlässlich.
Für Fachleute, die mit cad metallbau oder komplexen Konstruktionen arbeiten, ist die Integrität der Daten und der Schutz vor unbefugtem Zugriff von höchster Priorität. Die Art und Weise, wie Dateien gehandhabt werden – sei es durch Komprimierung, Archivierung oder spezielle Software wie AutoCAD – kann Angriffsvektoren darstellen. Daher ist es ratsam, sich nicht nur auf die Sicherheit einzelner Programme zu verlassen, sondern auch einen umfassenden Sicherheitsansatz zu verfolgen.
Die Verwendung von Software wie autocad citrix, autocad 2011 windows 11 oder autocad 2016 windows 11 erfordert stets aktuelle Versionen und ein Bewusstsein für die potenziellen Sicherheitsrisiken. Die Lektionen aus den WinRAR-Vorfällen sollten uns alle dazu anhalten, die Sicherheit unserer digitalen Werkzeuge ernst zu nehmen.
Fazit:
Die aktive Ausnutzung von Sicherheitslücken in weit verbreiteter Software wie WinRAR ist ein klares Signal, dass Wachsamkeit und proaktive Sicherheitsmaßnahmen unerlässlich sind. Für Anwender in Deutschland bedeutet dies: Halten Sie Ihre Software stets aktuell, insbesondere Ihre winrar version, und seien Sie sich der Risiken bewusst, die mit dem Öffnen von Archiven aus unbekannten Quellen verbunden sind. Die Sicherheit Ihrer Daten und Systeme sollte immer an erster Stelle stehen.