WinRAR-Exploit CVE-2025-8088: Russische Hacker greifen Ukraine an
15.06.2026 - 11:24:42 | boerse-global.de
Trotz eines Sicherheitsupdates vor fast einem Jahr nutzen russische Hackergruppen weiterhin eine WinRAR-Schwachstelle für gezielte Angriffe auf ukrainische Organisationen.
Die als CVE-2025-8088 bekannte Sicherheitslücke ermöglicht es Angreifern, mithilfe präparierter RAR-Archive Schadsoftware auf Zielsystemen zu installieren. Das Problem: WinRAR verfügt über keine automatische Update-Funktion. Viele Nutzer arbeiten daher noch immer mit verwundbaren Versionen.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book zur Cyber-Security jetzt sichern
Zwei Gruppen, ein Ziel
Sicherheitsforscher haben mindestens zwei russlandnahe Gruppen identifiziert, die die Lücke aktiv ausnutzen. Die als SHADOW-EARTH-066 (auch UAC-0226) bekannte Gruppe hat ihre Taktik geändert: Statt Excel-Makros setzt sie nun auf den WinRAR-Exploit. Die Schadsoftware landet als Datei namens "result.dll" direkt im Autostart-Ordner des Windows-Systems.
Der Schadcode arbeitet ausschließlich im Arbeitsspeicher, nutzt direkte NT-Systemaufrufe und eine doppelte RC4-Verschlüsselung zur Tarnung. Sein Ziel: Zugangsdaten aus Chrome, Edge, Opera und Firefox sowie Dateien mit 35 bestimmten Endungen. Die gestohlenen Daten werden per HTTPS verschlüsselt abtransportiert.
Die zweite Gruppe, Earth Dahu (auch als Gamaredon bekannt), geht anders vor. Sie verschickt Spear-Phishing-Mails von kompromittierten Regierungsaccounts. Die Köder: gefälschte ukrainische Gerichtsvorladungen oder Mitteilungen des Verteidigungsministeriums. Ihr Schadcode gelangt als HTA-Datei in den Autostart und lädt per Cloudflare Workers weitere Schadsoftware nach.
Die technische Falle
Die Schwachstelle betrifft WinRAR-Versionen vor 7.13 und liegt in der Verarbeitung von NTFS-Alternativdatenströmen (ADS). Angreifer nutzen diese Datenströme in Kombination mit Pfad-Manipulationen, um Schadcode in sensible Verzeichnisse zu schreiben – ohne dass die üblichen Sicherheitswarnungen ausgelöst werden.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Anti-Phishing-Paket für Firmen gratis herunterladen
Besonders perfide: Ein LNK- oder HTA-Link in den Metadaten des Archivs sorgt dafür, dass die Malware beim Öffnen der Datei direkt im Autostart-Ordner landet. Das Archiv wird so zur Waffe.
Problem für Unternehmen
Die Angriffe bleiben erfolgreich, weil WinRAR in vielen Unternehmen ein blinder Fleck ist. Das Programm hat keine Auto-Update-Funktion und lässt sich nicht über zentrale Verwaltungstools wie WSUS, SCCM oder Microsoft Intune patchen. Während andere Software regelmäßig aktualisiert wird, bleibt WinRAR oft in einer verwundbaren Version.
Die Sicherheitslücke hat einen CVSS-Score von 8,4 – die Einstufung „hoch kritisch". Für Organisationen, die auf das Packprogramm angewiesen sind, bedeutet das: Manuelle Kontrolle der Version ist Pflicht.
