WinRAR‑Schwachstelle wird aktiv ausgenutzt

Am Von In UP2DATE

This content is protected against AI scraping.

Die US‑Cyberbehörde CISA hat am Dienstag eine neue Sicherheitslücke im Datei‑Komprimierungsprogramm WinRAR in ihren Katalog der „Known Exploited Vulnerabilities“ (KEV) aufgenommen. Die Meldung zeigt, dass die Schwachstelle bereits von mehreren Hacker‑Gruppen aktiv genutzt wird – ein Hinweis darauf, dass selbst weit verbreitete Alltagssoftware zum Einfallstor für Angreifer werden kann.

Was ist das Problem?

  • CVE‑2025‑6218 – ein Path Traversal‑Fehler mit einer CVSS‑Bewertung von 7,8.
  • Der Bug erlaubt es einem Angreifer, über speziell präparierte RAR‑Archive Dateien an beliebige Orte im Dateisystem zu schreiben – etwa in den Windows‑Startordner. Beim nächsten Systemstart würde dann schädlicher Code ausgeführt.
  • Damit ein Angriff gelingt, muss das Opfer entweder eine manipulierte Webseite besuchen oder eine infizierte RAR‑Datei öffnen.

WinRAR-Entwickler RARLAB veröffentlichte bereits im Juni 2025 ein Update für die Lücke, die nur die Windows-Version betraf.

Aktuell ist die Version 7.13. vom 20.11.2025.

Wie erfolgt der Angriff?

  • via Phishing-Mails Angriffe gegen russische Organisationen
  • im Einsatz gegen ukrainische Militär‑ und Regierungsstellen Das Ziel sei die Verbreitung des Malware‑Programms Pteranodon, das für Spionage‑ und Sabotagezwecke eingesetzt wird.
  • RAR-Archiv mit WordDokument mit Makro, das die Datei Normal.dotm anlegt. Bei jedem Öffnen von Word werde automatisch Schadcode ausgeführt. Der enthaltene C#‑Trojaner verbinde sich mit einem Command‑and‑Control‑Server, um Tastatureingaben mitzuschneiden, Screenshots zu erstellen, RDP‑Anmeldedaten zu stehlen und Daten zu exfiltrieren.

Bekannte Lücken in Software werden oftmals nachgenutzt. Dabei machen sich die Angreifer die Trägheit der User:innen zu nutze, Updates zeitnah zu installieren.

Bleiben Sie wachsam, wenn Sie unbekannte oder/und auch unerwartet Dateien zugeschickt bekommen.

[https://www.cisa.gov/news-events/alerts/2025/12/09/cisa-adds-two-known-exploited-vulnerabilities-catalog] [https://nvd.nist.gov/vuln/detail/CVE-2025-6218] [https://www.rarlab.com/]