Cybersecurity-Forscher von ESET haben eine kritische Zero-Day-Schwachstelle in WinRAR entdeckt, die bereits aktiv von Cyberkriminellen ausgenutzt wurde. Die als CVE-2025-8088 klassifizierte Sicherheitslücke ermöglichte es Angreifern, Schutzmaßnahmen zu umgehen und Malware über speziell präparierte Archive zu installieren, noch bevor ein offizieller Patch verfügbar war.
Technische Analyse der Directory Traversal Schwachstelle
Bei CVE-2025-8088 handelt es sich um eine Directory Traversal Schwachstelle, die mehrere Komponenten des WinRAR-Ökosystems betraf. Diese Art von Sicherheitslücke erlaubte es Cyberkriminellen, die Pfade für die Dateiextraktion zu manipulieren und dabei Benutzereinstellungen zu ignorieren. Dadurch konnten ausführbare Dateien in kritischen Systemverzeichnissen platziert werden.
Laut offiziellen Angaben der Entwickler waren folgende Komponenten von der Schwachstelle betroffen: frühere WinRAR-Versionen, Windows-Versionen von RAR und UnRAR, der portable UnRAR-Quellcode sowie die UnRAR.dll-Bibliothek. Bemerkenswert ist, dass Unix-Versionen und RAR für Android nicht von dieser Sicherheitslücke betroffen waren.
Angriffsmethode über Windows Autostart-Mechanismus
Die besondere Gefährlichkeit dieser Schwachstelle liegt in der Fähigkeit der Angreifer, schädliche ausführbare Dateien direkt im Windows-Autostart-Ordner zu platzieren. Bei der nächsten Benutzeranmeldung werden diese Dateien automatisch ausgeführt, wodurch Cyberkriminelle Remote Code Execution auf dem kompromittierten System erreichen können.
Diese Angriffsmethode zeigt ein hohes Maß an Raffinesse, da nach dem initialen Öffnen des Archivs keine weitere Benutzerinteraktion erforderlich ist. Die Malware aktiviert sich selbständig beim nächsten Systemstart.
RomCom: Profil einer gefährlichen Hackergruppe
Als Hauptakteur hinter der Ausnutzung von CVE-2025-8088 wurde die Hackergruppe RomCom identifiziert, die auch unter den Bezeichnungen Storm-0978, Tropical Scorpius und UNC2596 bekannt ist. Diese organisierte Cyberkriminellen-Gruppe spezialisiert sich auf gezielte Angriffe gegen Unternehmen verschiedener Branchen.
In ihrer jüngsten Kampagne setzte die Gruppe mehrere Malware-Varianten ein, darunter modifizierte Versionen von SnipBot, RustyClaw und Mythic. Primäre Angriffsziele waren Finanz-, Fertigungs-, Verteidigungs- und Logistikunternehmen in Kanada und europäischen Ländern.
Operationsmuster und Taktiken von RomCom
RomCom verfügt über eine extensive Historie cyberkrimineller Aktivitäten, einschließlich Ransomware-Angriffen, Diebstahl von Unternehmensdaten für Lösegelderpressung und großangelegten Account-Kompromittierungskampagnen. Charakteristisch für die Gruppe ist die systematische Nutzung von Zero-Day-Schwachstellen und die Entwicklung eigener Malware-Tools.
Parallele Ausnutzung durch weitere Akteure
Die ESET-Untersuchung deckte auf, dass CVE-2025-8088 unabhängig von anderen Cyberkriminellen ausgenutzt wurde. Das russische Sicherheitsunternehmen BI.ZONE identifizierte alternative Angriffskampagnen, die dieselbe Schwachstelle verwendeten. Diese zweite Angriffswelle begann wenige Tage nach den RomCom-Aktivitäten.
Schutzmaßnahmen und Sicherheitsempfehlungen
Anwender sollten unverzüglich auf WinRAR Version 7.13 oder höher aktualisieren, die Ende Juli veröffentlicht wurde. Organisationen wird empfohlen, zusätzliche Sicherheitsmaßnahmen zu implementieren, einschließlich kontinuierlicher Überwachung des Autostart-Ordners und Implementierung von Richtlinien zur Beschränkung der Ausführung von Dateien aus temporären Verzeichnissen.
Dieser Vorfall unterstreicht die kritische Bedeutung zeitnaher Software-Updates und die Notwendigkeit mehrschichtiger Sicherheitsarchitekturen in Unternehmensumgebungen. Die Nutzung von Zero-Day-Exploits durch organisierte Hackergruppen verdeutlicht die Evolution der Cyber-Bedrohungslandschaft und erfordert von IT-Sicherheitsexperten kontinuierliche Wachsamkeit und Bereitschaft zur schnellen Reaktion auf neue Angriffsvektoren.
