In einer Meldung von WinRAR selbst führen die Entwickler aus, dass frühere Versionen von WinRAR, Windows-Versionen von RAR, UnRAR, der portable UnRAR-Quellcode und UnRAR.dll von Angreifern dazu gebracht werden können, einen in ein spezielles Archiv verpackten Pfad anstatt des angegebenen Pfades zu nutzen. Entdeckt wurde das Problem von Sicherheitsforschern von ESET, die es zunächst den Entwicklern von WinRAR meldeten. Diese schlossen die Sicherheitslücke mit dem am 31. Juli veröffentlichten Update.
Es ist derzeit nicht bekannt, wie und von wem CVE-2025-8088 in echten Angriffen ausgenutzt wird. Eine ältere Sicherheitslücke in WinRAR war jedoch bereits 2023 verantwortlich für zahlreiche Angriffe, darunter auch Attacken von chinesischen und russischen Hackergruppen. In einem Bericht aus der vergangenen Woche hat der russische Sicherheitsanbieter BI.ZONE darauf hingewiesen, dass es Anzeichen dafür gibt, dass die als Paper Werewolf (alias GOFFEE) bekannte Hackergruppe neben CVE-2025-8088 auch eine weitere Sicherheitslücke CVE-2025-6218 ausgenutzt haben könnte. Dabei handelt es sich um einen Verzeichnisüberlauf-Fehler in der Windows-Version von WinRAR, der im Juni 2025 gepatcht wurde.
Bereits vor diesen Angriffen wurde von einem als „zeroplayer” identifizierten Angreifer ein angeblicher WinRAR-Zero-Day-Exploit zum Preis von 80.000 US-Dollar auf dem russischsprachigen Dark-Web-Forum Exploit.in angeboten. Es wird vermutet, dass die Paper Werewolf-Angreifer diesen erworben und für ihre Angriffe genutzt haben könnten.
Eine der schädlichen Payloads ist ein .NET-Loader, der dazu dient, Systeminformationen an einen externen Server zu senden und zusätzliche Malware zu empfangen, darunter eine verschlüsselte .NET-Assembly. Paper Werewolf verwendet dabei den C#-Loader, um den Computernamen des Opfers zu ermitteln und ihn in dem generierten Link an den Server zu senden, um die Payload herunterzuladen.
Die Sicherheitslücke betrifft WinRAR-Versionen bis einschließlich 7.12. Ab Version 7.13 tritt diese Sicherheitslücke nicht mehr auf. Angesichts der weiten Verbreitung von WinRAR stellt die Sicherheitslücke für Cyberkriminelle ein lohnendes Ziel dar. Nutzer sollten daher auf der Hut sein und das Programm schnellstmöglich auf die neueste Version updaten.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
