In WinRAR für Windows wurde eine schwerwiegende Sicherheitslücke entdeckt und Benutzer sollten sofort auf die neueste Version aktualisieren. Die Schwachstelle mit der Bezeichnung CVE-2025-8088 wurde bei tatsächlichen Phishing-Angriffen ausgenutzt. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, um eine bösartige Archivdatei zu erstellen und deren Inhalt an nicht autorisierten Orten auf dem System des Opfers abzulegen, einschließlich Windows-Ordnern, die Programme beim Start automatisch ausführen.

Sobald eine schädliche Datei in diesen Ordnern abgelegt wird, kann sie Malware installieren oder versteckte Hintertüren öffnen, ohne dass der Benutzer weitere Maßnahmen ergreifen muss.

Normalerweise sollte WinRAR Dateien nur in den vom Benutzer angegebenen Zielordner extrahieren. Allerdings könnte die Schwachstelle, die als Path-Traversal-Schwachstelle eingestuft ist, Software dazu verleiten, Dateien an hochsensiblen Systemspeicherorten abzulegen, etwa im Windows-Startordner für einen einzelnen Benutzer oder für alle Benutzer auf dem Computer.

An diesen Speicherorten platzierte Malware wird bei jedem Neustart des Computers automatisch ausgeführt, sodass Angreifer weiterhin die Kontrolle über das Gerät behalten können. Dieses Problem betrifft Windows-Versionen von WinRAR und zugehörigen Tools, einschließlich RAR, UnRAR, Portable UnRAR Source und UnRAR.dll. Unix- oder Android-Versionen sind nicht betroffen.

Die Schwachstelle wurde von den ESET-Sicherheitsforschern Anton Cherepanov, Peter Košinár und Peter Strýček entdeckt. Ihre Untersuchung ergab, dass eine Hackergruppe namens RomCom (auch bekannt als Storm-0978, Tropical Scorpius oder UNC2596) diese Schwachstelle aktiv ausgenutzt hat, um Spear-Phishing-Angriffe durchzuführen.

Bei diesen Angriffen erhalten Opfer E-Mails mit infizierten RAR-Dateien. Wenn diese schädlichen Dateien mit älteren Versionen von WinRAR geöffnet werden, setzen sie RomCom-Malware ein, die vertrauliche Informationen stehlen, zusätzliche Malware installieren und langfristig verborgenen Zugriff auf infizierte Systeme ermöglichen kann.

RomCom wird mit russischer Cyberspionage in Verbindung gebracht und ist dafür bekannt, unbekannte Software-Schwachstellen für Spionage- und Ransomware-Angriffe auszunutzen. Die Malware verwendet typischerweise verschlüsselte Kommunikation und ist in legitimen Systemtools versteckt, die darauf ausgelegt sind, der Sicherheitserkennung zu entgehen.

Um dieses Problem zu beheben, haben die WinRAR-Entwickler am 30. Juli 2025 die endgültige Version 7.13 veröffentlicht. Dieses Update verhindert, dass Archivdateien Inhalte außerhalb des vom Benutzer angegebenen Extraktionsorts platzieren, und behebt einige unabhängige kleinere Fehler. Allerdings wird WinRAR nicht automatisch aktualisiert – Benutzer müssen neue Versionen manuell von der offiziellen Website herunterladen und installieren.

Mit über 500 Millionen Benutzern weltweit ist WinRAR ein wichtiges Ziel für Cyberkriminelle. Dies ist nicht die erste Sicherheitslücke, die in den letzten Monaten in der Software aufgetreten ist; Eine weitere Schwachstelle im Zusammenhang mit bösartigen Archivdateien wurde ebenfalls im Jahr 2025 behoben.

Sicherheitsexperten betonen, wie wichtig es ist, WinRAR auf dem neuesten Stand zu halten. Sie empfehlen außerdem, beim Öffnen von E-Mail-Anhängen von unbekannten Absendern Vorsicht walten zu lassen, Antivirensoftware zu verwenden, die versteckte Bedrohungen in Archivdateien erkennen kann, und Startordner regelmäßig auf unbekannte Dateien zu überprüfen, da diese Dateien häufige Eintrittspunkte für Malware darstellen.