CVE-2025-8088: Kritische WinRAR-Lücke erkannt

Eine Sicherheitslücke im weit verbreiteten Archivierungsprogramm WinRAR wird seit Juli 2025 von zahlreichen Angreifergruppen ausgenutzt. Die Google Threat Intelligence Group dokumentiert koordinierte Angriffskampagnen durch staatlich geförderte Akteure und finanziell orientierte Cyberkriminelle, die die Schwachstelle CVE-2025-8088 für unterschiedliche Zwecke einsetzen.

Technische Details der Sicherheitslücke

Bei CVE-2025-8088 handelt es sich um eine hochriskante Path-Traversal-Schwachstelle, die Angreifer durch Manipulation von Alternate Data Streams (ADS) ausnutzen können. Die Lücke ermöglicht das Schreiben von Dateien an beliebige Systemorte beim Öffnen präparierter RAR-Archive mit anfälligen WinRAR-Versionen.

Die ersten Ausnutzungen in freier Wildbahn erfolgten am 18. Juli 2025. RARLAB reagierte mit der Veröffentlichung von WinRAR Version 7.13 am 30. Juli 2025, die die Schwachstelle behebt.

Funktionsweise der Exploit-Kette

Die Angriffsmethode nutzt gezielt die ADS-Funktionalität in Kombination mit Verzeichnis-Traversal-Zeichen. Angreifer verstecken schadhaften Code im ADS einer unverdächtigen Lockdatei innerhalb des Archivs. Während Nutzer ein harmloses Dokument betrachten – beispielsweise eine PDF-Datei –, werden parallel bösartige ADS-Einträge verarbeitet.

Die Payload erhält einen speziell konstruierten Pfad, der auf kritische Systemverzeichnisse abzielt. Besonders häufig wird der Windows-Startordner genutzt, um dauerhafte Persistenz zu etablieren.

Ein typisches Beispiel: Eine Datei trägt im RAR-Archiv einen kombinierten Namen wie innocuous.pdf:malicious.lnk verbunden mit einem manipulierten Pfad: ../../../../../Users/<user>/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnk.

Beim Öffnen des Archivs wird der ADS-Inhalt in das durch den Traversal-Pfad definierte Ziel extrahiert. Die Payload startet automatisch bei der nächsten Benutzeranmeldung.

Staatlich geförderte Angriffskampagnen

Verschiedene staatlich unterstützte Gruppen haben CVE-2025-8088 in ihre Operationen integriert. Der Fokus liegt auf militärischen, staatlichen und technologischen Zielen. Das Muster ähnelt der massiven Ausnutzung der WinRAR-Schwachstelle CVE-2023-38831 aus dem Jahr 2023.

Russisch-ukrainischer Konflikt als Ziel

Mehrere mutmaßlich russische Bedrohungsgruppen setzen die Schwachstelle in Kampagnen gegen ukrainische Institutionen ein:

UNC4895 (CIGAR): Diese Gruppe, öffentlich auch als RomCom bekannt, verfolgt sowohl finanzielle als auch Spionageziele. Die Kampagnen nutzen Spearphishing-E-Mails mit individuell angepassten Ködern, die auf ukrainische Militäreinheiten abzielen. Als finale Payload kommt die Malware-Familie NESTPACKER (extern: Snipbot) zum Einsatz.

APT44 (FROZENBARENTS): Diese APT-Gruppe nutzt die Schwachstelle zur Platzierung von Lockdateien mit ukrainischen Dateinamen sowie bösartigen LNK-Dateien, die weitere Downloads initiieren.

TEMP.Armageddon (CARPATHIAN): Mit Fokus auf ukrainische Regierungsstellen werden RAR-Archive eingesetzt, um HTA-Dateien im Startordner zu platzieren. Diese fungieren als Downloader für eine zweite Angriffsstufe. Der initiale Downloader ist typischerweise in einem Archiv innerhalb einer HTML-Datei verpackt. Die Aktivitäten dauerten bis Januar 2026 an.

Turla (SUMMIT): Diese Gruppe verbreitete über CVE-2025-8088 die Malware-Suite STOCKSTAY. Die verwendeten Köder thematisieren ukrainische Militäroperationen und Drohneneinsätze.

Chinesische Akteure

Ein in der Volksrepublik China ansässiger Akteur nutzt die Schwachstelle zur Verbreitung der Malware POISONIVY. Die Methode umfasst eine BAT-Datei im Startordner, die einen Dropper nachlädt.

Finanziell motivierte Angriffe

Cyberkriminelle haben die Schwachstelle schnell adaptiert, um kommerzielle Remote Access Trojaner (RATs) und Informationsdiebe gegen wirtschaftliche Ziele einzusetzen.

Eine Gruppe mit Fokus auf indonesische Unternehmen nutzt Köderdokumente, um eine .cmd-Datei im Startordner zu platzieren. Das Skript lädt ein passwortgeschütztes RAR-Archiv von Dropbox, das eine Backdoor mit Telegram-Bot-Steuerung enthält.

Im Hotel- und Reisesektor, besonders in Lateinamerika, werden Phishing-E-Mails mit Hotelbuchungsthemen eingesetzt, um handelsübliche RATs wie XWorm und AsyncRAT zu verbreiten.

Brasilianische Nutzer werden über kompromittierte Bankwebsites angegriffen. Eine bösartige Chrome-Erweiterung injiziert JavaScript in Seiten zweier brasilianischer Banken, zeigt Phishing-Inhalte an und extrahiert Anmeldedaten.

Bis Januar 2026 dokumentiert Google weiterhin die Verbreitung kommerzieller RATs und Stealer durch Ausnutzung von CVE-2025-8088.

Untergrund-Marktplatz: Der Fall „zeroplayer“

Die breite Nutzung von CVE-2025-8088 durch verschiedene Akteure verdeutlicht die Nachfrage nach funktionierenden Exploits. Diese wird durch eine Untergrundwirtschaft bedient, in der spezialisierte Anbieter Exploits entwickeln und verkaufen.

Ein prominentes Beispiel ist der Akteur „zeroplayer“, der im Juli 2025 einen WinRAR-Exploit bewarb. Das Portfolio umfasst weitere hochpreisige Angebote:

November 2025: Sandbox-Escape-RCE-Zero-Day für Microsoft Office – Preis: 300.000 US-Dollar
Ende September 2025: RCE-Zero-Day für einen nicht genannten Enterprise-VPN-Anbieter – Preis nicht veröffentlicht
Mitte Oktober 2025: Windows-Zero-Day für lokale Rechteausweitung (LPE) – Preis: 100.000 US-Dollar
Anfang September 2025: Zero-Day für einen Treiber zur Deaktivierung von Antivirus- und EDR-Software – Preis: 80.000 US-Dollar

Die kontinuierliche Aktivität von zeroplayer illustriert die fortschreitende Kommerzialisierung des Angriffszyklus. Durch Bereitstellung einsatzbereiter Funktionen reduzieren solche Anbieter die technischen Anforderungen für Bedrohungsakteure und ermöglichen Gruppen unterschiedlicher Motivation den Zugang zu ausgefeilten Angriffswerkzeugen.

Schutzmaßnahmen und Empfehlungen

Die Google Threat Intelligence Group empfiehlt Unternehmen und Privatnutzern dringend, Software stets aktuell zu halten und Sicherheitsupdates unmittelbar nach Verfügbarkeit zu installieren. Auch nach Veröffentlichung von Patches nutzen Angreifer weiterhin N-Day-Schwachstellen und profitieren von verzögerten Update-Zyklen.

Zusätzlich wird die Nutzung von Google Safe Browsing und Gmail empfohlen, die Dateien mit dem Exploit aktiv identifizieren und blockieren.

Fazit

Die umfassende Ausnutzung von CVE-2025-8088 durch unterschiedliche Akteursgruppen demonstriert die Effektivität als kommerzieller Initialzugriffsvektor. Der Fall verdeutlicht die anhaltende Gefährdung durch N-Day-Schwachstellen.

Sobald ein funktionierender Proof-of-Concept für eine kritische Schwachstelle auf dem Cybercrime- und Spionagemarkt verfügbar wird, erfolgt eine unmittelbare Adoption durch verschiedenste Gruppen. Die Grenzen zwischen staatlich geförderten Operationen und finanziell motivierten Kampagnen verschwimmen dabei zunehmend.

Die schnelle Kommerzialisierung dieser Schwachstelle unterstreicht die Notwendigkeit einer zweigleisigen Verteidigungsstrategie: Sofortige Anwendung verfügbarer Patches kombiniert mit Erkennungsmechanismen für konsistente, vorhersehbare Post-Exploitation-TTPs.

Unsere Lese-Tipps