Schwachstelle in WinRAR wird von mehreren Gruppen aktiv ausgenutzt

Die US-Cybersicherheitsbehörde CISA hat vor einer schwer­wie­gen­den Sicherheitslücke im weitverbreiteten Packprogramm gewarnt. Die Schwachstelle mit der Kennung CVE-2025-6218 wird aktuell bereits von mehreren Angreifern ausgenutzt.
Winrar, entpacken, Rar, packen, Kompression, Dateikompression

Update längst verfügbar

Die Lücke, die mit einem CVSS-Wert von 7,8 eingestuft ist, ermöglicht einen Path-Traversal-Angriff: Manipulierte Archive oder präparierte Webseiten können dafür sorgen, dass Dateien an Orten abgelegt werden, wo sie eigentlich nicht hingehören, im schlimmsten Fall in sicherheitskritischen Systemverzeichnissen wie dem Windows-Autostart.

Wird ein solcher Angriff erfolgreich ausgeführt, kann im Kontext des angemeldeten Nutzers ungewollt Schadcode ausgeführt werden. Betroffen sind ausschließlich WinRAR-Versionen für Windows, Varianten für andere Betriebssysteme weisen das Problem nicht auf. Der Hersteller Rarlab hat die Schwachstelle bereits im Juni 2025 mit Version 7.12 geschlossen, allerdings haben viele Nutzer bis heute noch kein Update durchgeführt.


Wie sich zeigt, ist die Lücke Bestandteil mehrerer komplexer Angriffsketten. Sicherheitsfirmen wie BI.ZONE, Foresiet, SecPod und Synaptic Security berichten von Kampagnen gleich mehrerer Akteure, darunter GOFFEE (Paper Werewolf), die Bitter-APT-Gruppe sowie das russische Hacker-Kollektiv Gamaredon.

Sogar militärische Attacken

GOFFEE soll die Schwachstelle zusammen mit einer weiteren WinRAR-Lücke (CVE-2025-8088) im Sommer 2025 bei zielgerichteten Phishing-Angriffen eingesetzt haben. Die Bitter-Gruppe wiederum nutzt speziell präparierte RAR-Archive, um auf kompromittierten Systemen hartnäckige Zugänge einzurichten. Ein harmlos wirkendes Word-Dokument wird dabei zusammen mit einer manipulierten Makro-Vorlage ausgeliefert, die sich heimlich in den globalen Word-Template-Ordner kopiert. Dadurch wird ein Schadmakro bei jedem Start von Word automatisch geladen und dient als Einstieg für einen C#-Trojaner, der Daten abgreifen und mit einem externen Command-and-Control-Server kommunizieren kann.

Besonders brisant sind die Angriffe der russischen Gruppe Gamaredon, die die Schwachstelle nutzt, um ukrainische Militär- und Regierungsstellen mit dem Schadprogramm "Pteranodon" zu infizieren. Experten sprechen von einer klar militärisch ausgerichteten, staatlich koordinierten Spionage- und Sabotagekampagne. Mittlerweile wurde sogar ein neuer, zerstörerischer Wiper namens "GamaWiper" beobachtet. Das ist ein Novum für Gamaredon, das bislang vor allem für Informationsdiebstahl bekannt war.

Download WinRAR - Packprogramm für RAR- & ZIP-Dateien

Zusammenfassung
  • Sicherheitslücke CVE-2025-6218 in WinRAR wird von mehreren Angreifern aktiv ausgenutzt
  • Path-Traversal-Angriff ermöglicht das Ablegen von Dateien an unerwünschten Orten
  • Rarlab hat die Schwachstelle im Juni 2025 mit Version 7.12 bereits behoben
  • Hackergruppen GOFFEE, Bitter-APT und Gamaredon nutzen die Lücke für Angriffe
  • Bitter-Gruppe versteckt Schadcode in Makro-Vorlagen für Word-Dokumente
  • Russische Gruppe Gamaredon attackiert ukrainische Behörden mit neuer Malware
  • Neuartiger GamaWiper deutet auf Erweiterung des Angriffsrepertoires hin

Siehe auch:
Thema:
Sicherheitslücken
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Neueste Downloads
Mehr Downloads
Beliebt im Preisvergleich
Internet Security Preisvergleich
Neue Nachrichten
Themenübersicht
Beliebte Nachrichten
Videos
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!