CVE-2025-8088 Erkennung: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware genutzt
Inhaltsverzeichnis:
Während der Sommer seinen Höhepunkt erreicht, erhitzt sich auch die Cyber-Bedrohungslandschaft in rasantem Tempo. Nach der kürzlichen Offenlegung von CVE-2025-8292, einer Use-After-Free-Schwachstelle im Media Stream von Chrome, haben Sicherheitsexperten eine aktive Ausnutzung einer neuartigen WinRAR-Zero-Day-Schwachstelle entdeckt, die zur Verbreitung von RomCom Malware verwendet wird.
Unter der Bezeichnung CVE-2025-8088 handelt es sich um eine Path-Traversal-Schwachstelle in der Windows-Version von WinRAR, die es Angreifern ermöglicht, durch speziell präparierte Archivdateien beliebigen Code auszuführen. Während die genauen Methoden und Akteure hinter der Kampagne unbekannt bleiben, deutet der Einsatz der RomCom-Backdoor auf eine mögliche Beteiligung russischer Hackergruppen hin.
Erkennung von CVE-2025-8088-Ausnutzungsversuchen zur RomCom-Verbreitung
Mit über 29.000 neu erfassten Schwachstellen bei NIST in diesem Jahr beginnt für Cybersecurity-Teams ein Wettlauf. Da die Ausnutzung von Schwachstellen weiterhin der dominierende Angriffsvektor ist und Cyber-Bedrohungen zunehmend komplexer werden, ist eine proaktive Erkennung essenziell, um die Angriffsfläche zu reduzieren und Risiken zu minimieren.
Registrieren Sie sich jetzt auf der SOC Prime Plattform, um Zugriff auf eine umfangreiche Bibliothek kontextreicher Erkennungsregeln und KI-gesteuerter Bedrohungsinformationen zu erhalten. So bleiben Sie Angreifern, die neuartige Schwachstellen ausnutzen, einen Schritt voraus. Die Plattform bietet kuratierte Erkennungen, die speziell auf die neueste WinRAR-Zero-Day-Ausnutzung zur RomCom-Verbreitung abgestimmt sind, unterstützt von einem vollständigen Produktportfolio für KI-gestützte Detection Engineering, automatisiertes Threat Hunting und fortschrittliche Bedrohungserkennung. Klicken Sie auf den Erkennungen erkunden-Button unten, um direkt in den relevanten Erkennungs-Stack einzutauchen.
Cyber-Verteidiger können zudem den Threat Detection Marketplace mit den Tags „RomCom“ und „CVE-2025-8088“ nach maßgeschneiderten Inhalten durchsuchen. Für eine umfassendere Auswahl an Erkennungsregeln im Bereich Schwachstellenausnutzung empfiehlt sich der Tag „CVE“.
Darüber hinaus können Sicherheitsexperten ihre Threat-Investigation mit Uncoder AI, einer privaten IDE & Co-Pilot für threat-informed Detection Engineering, optimieren. Damit lassen sich Erkennungsalgorithmen aus Rohdaten generieren, schnelle IOC-Suchen durchführen, ATT&CK-Tags vorhersagen, Abfragecodes mit KI-Tipps verbessern und in verschiedene SIEM-, EDR- und Data-Lake-Sprachen übersetzen. So können Sicherheitsfachleute beispielsweise den aktuellen Bleeping Computer Artikel zu CVE-2025-8088 nutzen, um mit wenigen Klicks ein Attack-Flow-Diagramm zu erstellen.
Analyse von CVE-2025-8088
Sicherheitsexperten haben festgestellt, dass die WinRAR-Schwachstelle CVE-2025-8088 aktiv als Zero-Day in gezielten Phishing-Kampagnen zur Verbreitung der RomCom-Malware ausgenutzt wurde. Diese Path-Traversal-Schwachstelle betrifft die Windows-Version von WinRAR und erlaubt Angreifern die Ausführung beliebigen Codes durch präparierte Archivdateien.
Laut dem Sicherheitsbulletin konnten frühere Versionen von WinRAR (inklusive Windows RAR, UnRAR, portabler UnRAR-Quellcode und UnRAR.dll) während der Dateiextraktion dazu verleitet werden, einen bösartig konstruierten Pfad anstelle des vorgesehenen zu verwenden. Dies ermöglicht es Angreifern, Dateien an unautorisierte Orte zu platzieren.
Konkret können Bedrohungsakteure Archivdateien erstellen, die bösartige ausführbare Dateien in Autostart-Ordner extrahieren, wie zum Beispiel benutzerspezifisch %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup oder systemweit %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Dadurch wird die Malware beim nächsten Benutzer-Login automatisch ausgeführt, was den Angreifern ermöglicht, Remote Code Execution zur Installation der RomCom-Backdoor zu erreichen.
Bemerkenswert ist, dass Unix-Versionen von RAR, UnRAR, der portable UnRAR-Quellcode, die UnRAR-Bibliothek sowie RAR für Android von dieser Schwachstelle nicht betroffen sind.
Die RomCom-Malware-Familie wird einer russischstämmigen Hackergruppe zugeschrieben, die unter mehreren Aliasen bekannt ist, darunter UAT-5647, Storm-0978, Tropical Scorpius, UAC-0180 und UNC2596. Diese Gruppe wird auch für die berüchtigten Cuba Ransomware-Operationen verantwortlich gemacht. Bekannt für fortgeschrittene Hacking-Techniken ist sie seit mindestens 2019 aktiv und berüchtigt für den Einsatz verschiedener Malware-Familien, einschließlich RomCom RAT und SystemBC. Im Jahr 2022 setzten Bedrohungsakteure die RomCom-Backdoor gezielt gegen ukrainische staatliche Stellen ein, was auf eine mögliche Verbindung zu Cyber-Spionageoperationen zugunsten der Moskauer Regierung hindeutet.
Die Schwachstelle wurde von den ESET-Forschern Anton Cherepanov, Peter Košinár und Peter Strýček entdeckt und dem Hersteller gemeldet. Das Problem wurde in WinRAR Version 7.13 behoben, die am 30. Juli 2025 veröffentlicht wurde. Nutzer werden dringend empfohlen, umgehend auf diese sichere Version zu aktualisieren. Um Angreifern einen Schritt voraus zu bleiben und potenzielle Ausnutzungsversuche proaktiv zu erkennen, können Sicherheitsteams zudem auf SOC Primes umfassendes Produktportfolio zurückgreifen, das KI, Automatisierung und Echtzeit-Bedrohungsinformationen kombiniert, um die Abwehr im großen Stil zu stärken.
