Anfang der Woche wurde bekannt, dass die WinRAR-Version 7.13 eine hochriskante Sicherheitsl\u00fccke schlie\u00dft, die das Einschleusen und Ausf\u00fchren von Schadcode erm\u00f6glicht. Die L\u00fccke haben zwei verschiedene kriminelle Gruppierungen bereits missbraucht, wie IT-Sicherheitsforscher nun mitteilen.<\/p>\n
Die Mitarbeiter von Malwarebytes schreiben in einem Blog-Beitrag<\/a>, dass zwei Cyberbanden unabh\u00e4ngig voneinander die Sicherheitsl\u00fccke attackiert haben, als es noch kein Update zum Schlie\u00dfen davon gab \u2013 es sich also um einen Zero-Day handelte. Es handelt sich um eine „Path Traversal“-Schwachstelle, die Zugriffe auf eigentlich nicht zug\u00e4ngliche Verzeichnisse erm\u00f6glicht. Angreifer k\u00f6nnen mit manipulierten Archivdateien den Fehler provozieren und dadurch beliebigen Code einschleusen und ausf\u00fchren, sofern Opfer manipulierte Archive mit verwundbaren WinRAR-Versionen entpacken (CVE-2025-8088 \/ EUVD-2025-23983<\/a>, CVSS 8.4<\/strong>, Risiko „hoch<\/strong>„).<\/p>\n Zwei Cyberbanden greifen Schwachstelle an<\/p>\n Bislang hatte das IT-Sicherheitsunternehmen Eset von Spearphishing-E-Mails mit Dateianh\u00e4ngen im RAR-Format berichtet. Diese sorgsam pr\u00e4parierten Archive haben die Schwachstelle missbraucht, um „RomCom“-Backdoors zu installieren. Hinter RomCom steckt eine mit Russland verbandelte Cyberbande, die auch mit den Namen Storm-0978, Tropical Scorpius oder UNC2596 bekannt ist. Sie soll auf Ransomware, Datenklau-Angriffe und Kampagnen zum Stehlen von Zugangsdaten spezialisiert sein.<\/p>\n Laut Malwarebytes fanden diese Angriffe zwischen dem 18. und 21. Juli 2025 statt und hatten Organisationen aus den Bereichen Produktion, Verteidigung und Logistik insbesondere in Europa und Kanada zum Ziel. In den Phishing-Mails gaben die Angreifer sich als Bewerber um einen Arbeitsplatz aus, deren vermeintliche Bewerbungsunterlagen in den Dateianh\u00e4ngen der E-Mails steckten.<\/p>\n Eine zweite Cyberbande mit dem Namen „Paper Werewolf“ hat die Sicherheitsl\u00fccke ebenfalls missbraucht, berichtet Malwarebytes. Sie richtete ihre Angriffe jedoch gegen russische Einrichtungen. Anfang Juli haben IT-Forscher demnach diese gezielte Phishing-Kampagne entdeckt. Die Angreifer gaben sich als Angestellte eines russischen Forschungsinstituts aus und h\u00e4ngten einen vermeintlichen Brief von einem Ministerium an die E-Mails. Malwarebytes geht davon aus, dass weitere Kriminelle aufspringen und versuchen werden, die Sicherheitsl\u00fccke zu missbrauchen.<\/p>\n Am Montag dieser Woche wurde klar, dass das Update auf WinRAR 7.13 die bereits attackierte Sicherheitsl\u00fccke<\/a> abdichtet. Die \u00e4lteren Fassungen von RAR, UnRAR, portable UnRAR (Quelltext) und UnRAR.dll sind f\u00fcr die Schwachstelle anf\u00e4llig. Die Unix- und Android-Versionen sind hingegen nicht betroffen. Wer WinRAR einsetzt, sollte unbedingt auf die j\u00fcngste Fassung der Archivsoftware aktualisieren.<\/p>\n