Die Google Threat Intelligence Group hat auf ein interessantes Phänomen hingewiesen, das auf einer früheren WinRAR-Schwachstelle beruht: Chinesische und russische Cyberkriminelle greifen aktiv die WinRAR-Schwachstelle an, die von den Entwicklern in einem Update im Juli 2025 gepatcht wurde und nun nicht nur gegen ukrainische Ziele, sondern auch in größerem Umfang eingesetzt wird.
Die Schwachstelle, die unter CVE-2025-8088 läuft, ermöglicht es Angreifern, unbemerkt Schadcodedateien in verschiedenen kritischen Verzeichnissen zu platzieren, einschließlich des Windows-Startverzeichnisses, von dem aus Schadcode nach einem Systemneustart oder -neubeginn ausgeführt werden kann, wodurch eine ständig aktive Hintertür geöffnet wird. Nach Angaben der Google Threat Intelligence Group wurde diese Sicherheitslücke seit der Veröffentlichung von WinRAR 7.13 geschlossen, aber WinRAR-Benutzer scheinen sich nicht die Mühe zu machen, die Software zu aktualisieren, was sie einem Risiko aussetzen könnte.
Bei anfälligen Versionen von WinRAR verwenden Cyberkriminelle einen sorgfältig ausgearbeiteten Angriff, um komprimierte Dateien mit versteckten Nutzdaten an ihre Ziele zu liefern: Wenn der Benutzer die Datei öffnet, kann der bösartige Code dank der Sicherheitslücke in einem kritischen Verzeichnis platziert werden, das am häufigsten auf das Windows-Startverzeichnis abzielt. Dies ist eine offensichtliche Wahl, da dort platzierte ausführbare Dateien beim Systemstart ausgeführt werden können, wodurch sichergestellt wird, dass der bösartige Code ständig präsent ist - bis der Benutzer die Sicherheitslücke bemerkt.
WinRAR ist auch heute noch sehr beliebt, da es zum Erstellen kompakter, platzsparender Dateien verwendet werden kann, die mit einem Passwort geschützt und verschlüsselt werden können. Komprimierte Dateien sind ideal für Downloads und Uploads, aber auch für die platzsparende Speicherung. WinRAR ist in einer einfachen 40-Tage-Testversion erhältlich, nach der Sie sich registrieren müssen, worüber die Software Sie bei jedem Start warnt. Wenn Sie das Warnfenster schließen, können Sie die Anwendung weiter verwenden, auch wenn Sie sie danach nicht mehr legal nutzen dürfen.
RARLAB, der Entwickler der Software, hat auch eine Sicherheitswarnung am unteren Rand des Benachrichtigungsfensters eingefügt, die auf die Sicherheitsbedrohung und die Notwendigkeit einer Aktualisierung der Software hinweist. Da das Fenster jedoch von den meisten Menschen routinemäßig geschlossen wird, bemerken viele die Zeilen am unteren Rand nicht. Dies könnte einer der Gründe dafür sein, dass viele Nutzer den seit Juli letzten Jahres verfügbaren Patch immer noch nicht installiert haben - sie könnten jetzt gefährdet sein.
Berichte deuten darauf hin, dass sowohl allgemeine als auch geschäftliche Nutzer von den Angreifern ins Visier genommen werden könnten. Berichte über spezifische Angriffe kommen aus Indonesien, Lateinamerika und Brasilien, aber die Bandbreite der betroffenen Nutzer könnte noch viel größer sein.
Jeder, der WinRAR vor Version 7.13 verwendet, sollte sofort ein Update durchführen. Die neueste Version, Version 7.13, kann unter bezogen werden.
