WinRAR unter Attacke – Update schließt Sicherheitslücke
Mit einem Update schließen die Entwickler von WinRAR eine aktiv ausgenutzte Sicherheitslücke, über die Angreifer über bösartige Archivdateien Malware verbreiten können.
Neustadt an der Weinstraße, 13.08.2025 (PresseBox) - Die Entwickler des Dateiarchivierungsprogramms WinRAR haben ein Update veröffentlicht, mit dem eine aktiv ausgenutzte Zero-Day-Sicherheitslücke behoben wird. Bei dem als CVE-2025-8088 erfassten Problem mit einem CVSS-Score von 8,8 handelt es sich um einen Fall von Path Traversal, der die Windows-Version des Tools betrifft. Angreifer könnten durch die Erstellung bösartiger Archivdateien beliebigen Code ausführen.
In einer Meldung von WinRAR selbst führen die Entwickler aus, dass frühere Versionen von WinRAR, Windows-Versionen von RAR, UnRAR, der portable UnRAR-Quellcode und UnRAR.dll von Angreifern dazu gebracht werden können, einen in ein spezielles Archiv verpackten Pfad anstatt des angegebenen Pfades zu nutzen. Entdeckt wurde das Problem von Sicherheitsforschern von ESET, die es zunächst den Entwicklern von WinRAR meldeten. Diese schlossen die Sicherheitslücke mit dem am 31. Juli veröffentlichten Update.
Es ist derzeit nicht bekannt, wie und von wem CVE-2025-8088 in echten Angriffen ausgenutzt wird. Eine ältere Sicherheitslücke in WinRAR war jedoch bereits 2023 verantwortlich für zahlreiche Angriffe, darunter auch Attacken von chinesischen und russischen Hackergruppen. In einem Bericht aus der vergangenen Woche hat der russische Sicherheitsanbieter BI.ZONE darauf hingewiesen, dass es Anzeichen dafür gibt, dass die als Paper Werewolf (alias GOFFEE) bekannte Hackergruppe neben CVE-2025-8088 auch eine weitere Sicherheitslücke CVE-2025-6218 ausgenutzt haben könnte. Dabei handelt es sich um einen Verzeichnisüberlauf-Fehler in der Windows-Version von WinRAR, der im Juni 2025 gepatcht wurde.
Bereits vor diesen Angriffen wurde von einem als „zeroplayer” identifizierten Angreifer ein angeblicher WinRAR-Zero-Day-Exploit zum Preis von 80.000 US-Dollar auf dem russischsprachigen Dark-Web-Forum Exploit.in angeboten. Es wird vermutet, dass die Paper Werewolf-Angreifer diesen erworben und für ihre Angriffe genutzt haben könnten.
Eine der schädlichen Payloads ist ein .NET-Loader, der dazu dient, Systeminformationen an einen externen Server zu senden und zusätzliche Malware zu empfangen, darunter eine verschlüsselte .NET-Assembly. Paper Werewolf verwendet dabei den C#-Loader, um den Computernamen des Opfers zu ermitteln und ihn in dem generierten Link an den Server zu senden, um die Payload herunterzuladen.
Die Sicherheitslücke betrifft WinRAR-Versionen bis einschließlich 7.12. Ab Version 7.13 tritt diese Sicherheitslücke nicht mehr auf. Angesichts der weiten Verbreitung von WinRAR stellt die Sicherheitslücke für Cyberkriminelle ein lohnendes Ziel dar. Nutzer sollten daher auf der Hut sein und das Programm schnellstmöglich auf die neueste Version updaten.
