CVE-2025-8088: RomCom-Hacker nutzen kritische Schwachstelle – Update auf Version 7.13 dringend erforderlich
Eine kürzlich entdeckte Zero-Day-Sicherheitslücke im beliebten Packprogramm WinRAR wird aktiv von der Hackergruppe „RomCom“ in gezielten Phishing-Angriffen ausgenutzt. Die kritische Schwachstelle (CVE-2025-8088) ermöglicht es Angreifern, beim Entpacken manipulierter Archivdateien schädliche Programme unbemerkt auf den Rechnern ihrer Opfer zu installieren. Sicherheitsforscher von ESET haben beobachtet, dass diese Lücke bereits „in the wild“ für echte Attacken missbraucht wurde. WinRAR hat zwar mittlerweile ein Update bereitgestellt, doch da das Tool keine automatische Aktualisierungsfunktion besitzt, sind zahlreiche Nutzer weiterhin gefährdet, sofern sie nicht manuell auf die neueste Version 7.13 umsteigen.
Path-Traversal-Lücke erlaubt Code-Ausführung beim Entpacken
Bei der entdeckten WinRAR-Schwachstelle handelt es sich um eine sogenannte Path-Traversal-Lücke. Diese ermöglicht es, dass ein speziell präpariertes Archiv beim Entpacken Dateien in einem vom Angreifer bestimmten Verzeichnis ablegt – und nicht in dem Zielordner, den der Benutzer eigentlich ausgewählt hat. Auf diese Weise können Kriminelle beispielsweise eine ausführbare Datei direkt im Autostart-Ordner von Windows platzieren (etwa unter %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup). Beim nächsten Systemstart oder Login wird diese Datei dann automatisch ausgeführt und verschafft den Angreifern Zugriff auf den Rechner (Remote Code Execution). Die Schwachstelle betrifft alle Windows-Versionen von WinRAR, RAR und den zugehörigen UnRAR-Komponenten bis einschließlich Version 7.12. Andere Systeme wie Linux, macOS sowie die Android-App von WinRAR sind laut Herstellerangaben nicht anfällig für diesen Bug.
Entdeckt wurde die Lücke von den IT-Sicherheitsexperten Anton Cherepanov, Peter Košinár und Peter Strýček von ESET. Sie stuften CVE-2025-8088 als kritisch ein (CVSS-Score 8,4 von 10) und informierten den Hersteller RARLAB, der daraufhin Ende Juli 2025 ein Sicherheitsupdate veröffentlichte. WinRAR Version 7.13 schließt die Path-Traversal-Lücke und verhindert damit das unerlaubte Ablegen von Dateien außerhalb des vorgesehenen Entpack-Pfads.
Phishing-Kampagne installiert RomCom-Malware
Bereits bevor der Patch verfügbar war, machten sich Cyberkriminelle diese Zero-Day-Lücke zunutze. Laut den ESET-Forschern wurden Spear-Phishing-E-Mails mit infizierten RAR-Archivanhängen an ausgewählte Ziele versendet. Hinter den Tätern steckt die Hackergruppierung RomCom, die über solche E-Mail-Anhänge ihre gleichnamige Schadsoftware (einen sogenannten Backdoor-Trojaner) auf die Computer der Opfer schleust. Öffnet ein ahnungsloser Nutzer das präparierte Archiv, wird dank der WinRAR-Schwachstelle im Hintergrund die RomCom-Malware unbemerkt in einem Systemordner platziert und zur Ausführung gebracht. Die Angreifer erhalten so heimlich Zugang zum System, können Daten stehlen oder weitere Schadsoftware nachladen.
Besonders tückisch: Die Phishing-Mails der Kampagne sind oft täuschend echt gestaltet und wirken, als kämen sie von vertrauenswürdigen Absendern. Die Ziele der Angriffe sind nach bisherigen Erkenntnissen vor allem Unternehmen, Regierungsbehörden und politische Organisationen. Aber auch private Anwender, die WinRAR nutzen und noch nicht aktualisiert haben, können ins Visier geraten. Da es sich um gezielte (sogenannte Spear-Phishing-)Attacken handelt, schlagen viele herkömmliche Virenschutzprogramme oft zu spät oder gar nicht Alarm – die Angriffe bleiben zunächst unbemerkt.
RomCom: Russisch verbündete Hacker mit Vorliebe für Zero-Days
Die Gruppe hinter der RomCom-Malware ist kein unbeschriebenes Blatt. Sicherheitskreise ordnen RomCom einem russischstaatlichen Umfeld zu – es handelt sich um eine professionelle APT-Gruppe (Advanced Persistent Threat), die auch unter den Namen Storm-0978, Tropical Scorpius oder UNC2596 bekannt ist. RomCom ist darauf spezialisiert, Zero-Day-Lücken auszunutzen und mit maßgeschneiderter Malware langfristig in fremde Netzwerke einzudringen. In der Vergangenheit wurde die Gruppe unter anderem mit Ransomware-Angriffen (etwa im Zusammenhang mit der Cuba-Ransomware) und Datendiebstahl-Kampagnen in Verbindung gebracht. Ende 2024 etwa nutzten RomCom-Hacker zwei bislang unbekannte Schwachstellen in Firefox und Tor Browser, um Nutzer in Europa und Nordamerika auszuspionieren. Die aktuelle WinRAR-Attacke passt somit ins Schema – erneut wird eine frisch entdeckte Sicherheitslücke ausgenutzt, noch bevor die breite Öffentlichkeit gewarnt war.
Update auf WinRAR 7.13: Jetzt handeln!
Die gute Nachricht: Ein Sicherheitsupdate ist verfügbar. Die Entwickler von WinRAR haben mit Version 7.13 (veröffentlicht am 30. Juli 2025) das gefährliche Leck gestopft. Allerdings erfolgt das Update nicht automatisch, sodass Nutzer selbst aktiv werden müssen. Jeder, der WinRAR unter Windows verwendet, sollte umgehend prüfen, welche Version installiert ist, und die neueste Version 7.13 direkt von der offiziellen Website herunterladen und installieren. Nur so ist gewährleistet, dass Archive mit dem beschriebenen Exploit nicht mehr zum Einschleusen von Malware missbraucht werden können.
Grundsätzlich gilt beim Umgang mit E-Mail-Anhängen weiterhin höchste Vorsicht. Selbst Archive oder Dateien von vertrauten Kontakten könnten manipuliert sein, wenn deren Accounts zuvor kompromittiert wurden. Nutzer sollten Archive (*.rar, *.zip usw.) daher nicht unbedacht öffnen, insbesondere wenn sie unerwartet kommen. Im aktuellen Fall ist das zeitnahe Einspielen des WinRAR-Updates jedoch der wichtigste Schutz. So lässt sich diese Angriffsmasche effektiv unterbinden und den Hackern der RomCom-Gruppe ihr Erfolgsrezept entziehen, bevor noch mehr Schaden angerichtet wird.
Alternative: 7-Zip
Wer eine sichere Alternative sucht, kann auf 7-Zip umsteigen. Das kostenlose Open-Source-Programm bietet eine starke AES-256-Verschlüsselung, unterstützt zahlreiche Archivformate und ist für Windows, Linux und macOS verfügbar. Da 7-Zip regelmäßig Sicherheitsupdates erhält und im Gegensatz zu WinRAR komplett quelloffen ist, lässt sich der Code transparent prüfen – ein klarer Vorteil für sicherheitsbewusste Anwender.
Offizieller Download Quellen für 7-Zip: https://www.7-zip.org/
Quellen
- BleepingComputer: WinRAR zero-day flaw exploited by RomCom hackers in phishing attacks
- HackRead: WinRAR Zero-Day CVE-2025-8088 Exploited to Spread RomCom Malware
- Tarnkappe: WinRAR-Zero-Day für Phishing-Angriffe ausgenutzt
- Security Affairs: Phishing attacks exploit WinRAR flaw CVE-2025-8088 to install RomCom
- NVD – CVE-2025-8088 (WinRAR vulnerability details)
Letzte Aktualisierung am 16.08.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.
About the Author
