Anfang der Woche wurde bekannt, dass die WinRAR-Version 7.13 eine hochriskante Sicherheitslücke schließt, die das Einschleusen und Ausführen von Schadcode ermöglicht. Die Lücke haben zwei verschiedene kriminelle Gruppierungen bereits missbraucht, wie IT-Sicherheitsforscher nun mitteilen.
Die Mitarbeiter von Malwarebytes schreiben in einem Blog-Beitrag, dass zwei Cyberbanden unabhängig voneinander die Sicherheitslücke attackiert haben, als es noch kein Update zum Schließen davon gab – es sich also um einen Zero-Day handelte. Es handelt sich um eine "Path Traversal"-Schwachstelle, die Zugriffe auf eigentlich nicht zugängliche Verzeichnisse ermöglicht. Angreifer können mit manipulierten Archivdateien den Fehler provozieren und dadurch beliebigen Code einschleusen und ausführen, sofern Opfer manipulierte Archive mit verwundbaren WinRAR-Versionen entpacken (CVE-2025-8088 / EUVD-2025-23983, CVSS 8.4, Risiko "hoch").
Bislang hatte das IT-Sicherheitsunternehmen Eset von Spearphishing-E-Mails mit Dateianhängen im RAR-Format berichtet. Diese sorgsam präparierten Archive haben die Schwachstelle missbraucht, um "RomCom"-Backdoors zu installieren. Hinter RomCom steckt eine mit Russland verbandelte Cyberbande, die auch mit den Namen Storm-0978, Tropical Scorpius oder UNC2596 bekannt ist. Sie soll auf Ransomware, Datenklau-Angriffe und Kampagnen zum Stehlen von Zugangsdaten spezialisiert sein.
Laut Malwarebytes fanden diese Angriffe zwischen dem 18. und 21. Juli 2025 statt und hatten Organisationen aus den Bereichen Produktion, Verteidigung und Logistik insbesondere in Europa und Kanada zum Ziel. In den Phishing-Mails gaben die Angreifer sich als Bewerber um einen Arbeitsplatz aus, deren vermeintliche Bewerbungsunterlagen in den Dateianhängen der E-Mails steckten.
Eine zweite Cyberbande mit dem Namen "Paper Werewolf" hat die Sicherheitslücke ebenfalls missbraucht, berichtet Malwarebytes. Sie richtete ihre Angriffe jedoch gegen russische Einrichtungen. Anfang Juli haben IT-Forscher demnach diese gezielte Phishing-Kampagne entdeckt. Die Angreifer gaben sich als Angestellte eines russischen Forschungsinstituts aus und hängten einen vermeintlichen Brief von einem Ministerium an die E-Mails. Malwarebytes geht davon aus, dass weitere Kriminelle aufspringen und versuchen werden, die Sicherheitslücke zu missbrauchen.
Am Montag dieser Woche wurde klar, dass das Update auf WinRAR 7.13 die bereits attackierte Sicherheitslücke abdichtet. Die älteren Fassungen von RAR, UnRAR, portable UnRAR (Quelltext) und UnRAR.dll sind für die Schwachstelle anfällig. Die Unix- und Android-Versionen sind hingegen nicht betroffen. Wer WinRAR einsetzt, sollte unbedingt auf die jüngste Fassung der Archivsoftware aktualisieren.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare