WinRAR-Tool jetzt aktualisieren: RomCom und andere nutzen Zero-Day-Schwachstelle aus

ESET-Forscher haben eine bisher unbekannte Sicherheitslücke in WinRAR entdeckt, die von der russischen Gruppe RomCom ausgenutzt wird. Dies ist mindestens das dritte Mal, dass RomCom bei der Ausnutzung einer bedeutenden Zero-Day-Schwachstelle in freier Wildbahn erwischt wurde. Zu den früheren Beispielen gehören der Missbrauch von CVE-2023-36884 über Microsoft Word im Juni 2023 und die kombinierten Schwachstellen, die CVE-2024-9680 in Verbindung mit einer anderen, bisher unbekannten Schwachstelle in Windows, CVE-2024-49039, zugewiesen wurden und auf anfällige Versionen von Firefox, Thunderbird und den Tor-Browser abzielten, was im Oktober 2024 zur Ausführung von beliebigem Code im Kontext des angemeldeten Benutzers führte.

Die wichtigsten Punkte dieses Blogposts:

• Wenn Sie WinRAR oder andere betroffene Komponenten wie die Windows-Versionen der Befehlszeilen-Dienstprogramme, UnRAR.dll oder den portablen UnRAR-Quellcode verwenden, aktualisieren Sie sofort auf die neueste Version.
• Am^18. Juli 2025 entdeckten ESET-Forscher eine bisher unbekannte Zero-Day-Schwachstelle in WinRAR, die in freier Wildbahn ausgenutzt wird.
• Die Analyse des Exploits führte zur Entdeckung der Schwachstelle, die nun als CVE-2025-8088 eingestuft wurde: eine Path-Traversal-Schwachstelle, die durch die Verwendung von alternativen Datenströmen ermöglicht wird. Nach sofortiger Benachrichtigung veröffentlichte WinRAR am 30. Juli 2025 eine gepatchte Version.
• Die Schwachstelle ermöglicht das Verstecken bösartiger Dateien in einem Archiv, die beim Extrahieren unbemerkt ausgeführt werden.
• Erfolgreiche Ausnutzungsversuche lieferten verschiedene von der RomCom-Gruppe verwendete Backdoors, insbesondere eine SnipBot-Variante, RustyClaw und Mythic Agent.
• Ziel dieser Kampagne waren Finanz-, Produktions-, Verteidigungs- und Logistikunternehmen in Europa und Kanada.

RomCom-Profil

RomCom (auch bekannt als Storm-0978, Tropical Scorpius oder UNC2596) ist eine mit Russland verbündete Gruppe, die sowohl opportunistische Kampagnen gegen ausgewählte vertikale Unternehmen als auch gezielte Spionageoperationen durchführt. Der Schwerpunkt der Gruppe hat sich auf Spionageoperationen verlagert, bei denen parallel zu den konventionellen Cyberkriminalitätsoperationen Informationen gesammelt werden. Die von der Gruppe häufig verwendete Backdoor ist in der Lage, Befehle auszuführen und zusätzliche Module auf den Computer des Opfers herunterzuladen.

Die detallierte Analyse finden Sie im englischsprachigen Dokument.