Neue WinRAR-Schwachstelle CVE-2025-8088 für Social Engineering-Angriffe genutzt
CVE-2025-8088 (CVSS 8.4) ist eine neue, hoch riskante Path Traversal-Schwachstelle [CWE-35] in WinRAR bis einschließlich Version 7.12, sowie in verwandten Komponenten wie beispielsweise UnRAR.dll. Die Schwachstelle erlaubt unautorisierten Angreifenden, schadhafte Dateien in sensible Verzeichnisse wie den Windows-Autostart-Ordner zu kopieren, von wo sie automatisch ausgeführt werden können. Laut ESET Research wurde die aktive Ausnutzung erstmals am 18. Juli 2025 im Zusammenhang mit RomCom, einer forgteschrittenen, andauernden Bedrohung (Advanced Persistent Threat, APT), dokumentiert. Es ist bereits von einem Exploit-Kit die Rede, welches im Darknet für 80.000$ angeboten wird, diese Berichte sind jedoch bisher nicht hinreichend geprüft.
RARLAB hat Release Notes und gepatchte Versionen der WinRAR-Anwendung und der Quellcode-Version veröffentlicht. Nutzende sind dringend aufgefordert, die Sicherheitsupdates umgehend zu installieren. OPENVAS SECURITY INTELLIGENCE kann Ihrem Sicherheitsteam mit Hilfe unseres ENTERPRISE FEEDs helfen, anfällige Versionen von WinRAR im Netzwerk Ihrer Organisation zu erkennen. In unserem Threat Report vom Mai 2025 haben wir bereits über russische, staatlich finanzierte Bedrohungsakteure berichtet, die eine andere WinRAR-Schwachstelle, CVE-2023-38831 (CVSS 7.8), für Ransomware-Angriffe ausgenutzt hatten. Schauen wir uns nun die neueste Angriffs-Kampagne auf WinRAR an.
Zusammenfassung von RomComs Taktiken und Techniken
RomCom (aka Storm-0978, Tropical Scorpius, UNC2596) ist ein mit Russland in Verbindung stehender Bedrohungsakteur, bekannt für eine charakteristische Malware (RomCOM RAT) und die Durchführung hochentwickelter, finanziell motivierter Spearphishing-Attacken sowie Spionage-Kampagnen [1][2][3][4]. Ihre Aktivitäten stützen sich auf eine Bandbreite von Angriffs-Vektoren, wie Spearphishing, Installations-Trojaner und die Ausnutzung hochsensibler Schwachstellen. Nennenswerte Beispiele umfassen unter anderem CVE-2023-36884 (CVSS 7.5) in Microsoft Word, CVE-2024-9680 (CVSS 9.8) in Firefox, und CVE-2024-49039 (CVSS 8.8) in Windows Task Scheduler. ESET zufolge beinhalten RomCom’s Spearphishing E-Mails inzwischen als Angriffswerkzeuge präparierte RAR-Archive, die in Anhängen gezielt an Unternehmen aus den Bereichen Finanzen, Produktion, Verteidigung und Logistik in Europa und Kanada verschickt werden.
Die CVE-2025-8088 Angriffskette
Kampagnen, die CVE-2025-8088 ausnutzen, folgen einem mehrstufigen Prozess, indem schadhafte RAR-Archive für Import und Ausführung von Schadsoftware auf Zielsystemen eingesetzt werden. Im folgenden wird die von ESET Research erkannte Angriffskette erklärt:
- Spearphishing-Übermittlung: Die Opfer erhalten E-Mails mit präparierten RAR-Archiven [T1204.002], die darauf ausgelegt sind, nach ihrer Extrahierung CVE-2025-8088 auszunutzen. Das angehängte Archiv erweckt den Eindruck, nur eine oder zwei Dateien zu enthalten, allerdings verbirgt es mehrere Alternate Data Streams (ADS) mit schadhaften Inhalten. In NTFS ermöglichen ADS das Speichern von Daten in einem separaten Datenstrom, welcher mit einer Datei verbunden ist, jedoch nicht in normalen Verzeichnislisten auftaucht.
- Path Traversal Exploit: Die ADS-Payloads nutzen die Zeichenfolge ..\, um durch den Extraktionspfad zu navigieren und schadhafte DLL- oder EXE-Dateien in sensible Verzeichnisse wie %TEMP%, %LOCALAPPDATA% und den Windows-Autostart-Ordner zu installieren
- Payload-Bereitstellung: Sobald das Payload in ein sensibles Verzeichnis extrahiert wurde, wird eine .lnk-Verknüpfungsdatei in den Windows-Autostart-ordner kopiert, um Persistenz zu erreichen [T1547]. WinRAR verfügt standardmäßig nicht über erhöhte Rechte. Der Windows-Autostart-Ordner ist jedoch von Nutzenden beschreibbar und sorgt somit dafür, dass die dort abgelegte Schadsoftware mit jedem Login ausgeführt wird.
- Aktion gemäß Zielen: Als folge einer erfolgreichen Ausnutzung wurden bereits mehrere Malware-Payloads zur Command-and-Control-(C2)-Kommunikation beobachtet, darunter:
- Missbrauch von COM-Hijacking [T1546.015], um eine bösartige DLL (Mythic Agent) auszuführen, die auf Active-Dicectory-(AD)-Domänen abzielt.
- Verwendung einer trojanischen PuTTY-CAC-Executable (SnipBot), um Anit-Sandbox-Prüfungen [T1497] durchzuführen, bevor weitere Payloads importiert werden [T1105]. PuTTY-CAC ist eine modifizierte Version des beliebten PuTTY SSH/Telnet-Clients, die Unterstützung für Smartcards und zertifikatsbasierte Logins bietet.
- Einsatz eines Rust-basierten Downloaders (RustyClaw) zur Bereitstellung des MeltingClaw-Loaders, um weitere Malware zu importieren [T1105].
Maßnamen zur Risikobegrenzung
WinRAR auf Windows Systemen sollte umgehend manuell auf die am 30. Juli herausgegebene Version WinRAR 7.13 Final aktualisiert werden. Das Update behebt die Schwachstellen in der Desktopanwendung, dem portablen UnRAR-Quellcode und den UnRAR.dll-Komponenten. Unternehmen sollten außerdem jegliche Software, die UnRAR.dll nutzt, auf die Version 7.13 FINAL aktualisieren. In komplexen IT-Umgebungen ist die Durchführung umfangreicher Schwachstellentests zwingend erforderlich, um sicherzustellen, dass alle betroffenen Instanzen behoben wurden und um den Patch-Status nach der Behebung zu verifizieren.
Weitere Sicherheitsmaßnahmen umfassen:
- Einsatz von Antivirensoftware, um eingehende Dateien auf Malware zu prüfen
- Einrichtung starker Verzeichnisberechtigungen, um das böswillige Extrahieren in sensible Verzeichnisse zu unterbinden
- Durchführung von Sensibilisierungsschulungen, um Mitarbeitende über Spearphishing aufzuklären
- Scannen von Systemen auf Indikatoren einer Kompromittierung (Indicators of Compromise, IoCs), um mögliche Kompromittierung zu identifizieren
- Konfiguration von EDR-Lösungen, um bei Änderungen im Windows-Autostart-Ordner Alarm zu geben
Zusammenfassung
CVE-2025-8088 (CVSS 8.4), ist eine hoch riskante Path Traversal-Schwachstelle von WinRAR, die aktiv von der RomCom-APT ausgenutzt wird. Angriffe werden über Spearphisching-E-Mails verteilt, die bösartige RAR-Archive beinhalten. Diese schleusen lokal Schadsoftware in die Zielsysteme. Eine gepatchte Version, WinRAR 7.13 Final, schließt umgehend die Schwachstellen auf betroffenen Systemen, einschließlich der Desktop-Anwendung, dem portablen UnRAR-Quellcode und UnRAR.dll. Die Sicherheitsupdates sollten umgehend installiert werden. OPENVAS SECURITY INTELLIGENCE bietet bereits Versionserkennungstests als Teil unseres ENTERPRISE FEEDs, die es Ihrem Sicherheitsteam ermöglichen, die IT-Infrastruktur Ihres Unternehmens auf betroffene WinRAR-Versionen zu scannen und diese zu patchen.
Josephs Karriere im Bereich IT und Cybersicherheit ist von Vielfalt und Leidenschaft geprägt. Sie begann in den späten 1980er Jahren mit der Arbeit an einem IBM PS/2, der Montage von PCs und der Programmierung in C++.
Er studierte Computer- und Systemtechnik, Anthropologie und erwarb einen MBA mit Schwerpunkt Technologieprognose.
Josephs Fachgebiete umfassen Datenanalyse, Softwareentwicklung und insbesondere IT-Sicherheit in Unternehmen. Er ist Experte für Schwachstellenmanagement, Verschlüsselung und Penetrationstests.
