Ein Bedrohungsakteur namens „zeroplayer“ hat in einem Dark-Web-Forum eine angebliche Zero-Day-RCE-Schwachstelle (Remote Code Execution) für die Archivierungssoftware WinRAR angeboten. Die Preisvorstellung für den Exploit wird mit $80.000 angegeben.
Beschreibung:
Am 7. Juli 2025 wurde ein als „zeroplayer“ identifizierter Bedrohungsakteur entdeckt, der im russischsprachigen Dark-Web-Forum „Exploit.in“ für einen angeblichen Zero-Day-Exploit warb. Der Akteur bietet einen angeblich voll funktionsfähigen RCE-Exploit (Remote Code Execution) für WinRAR an. Für den Exploit wird ein Preis von 80.000 $ verlangt. In dem Beitrag betont „zeroplayer“, dass es sich um eine neue Sicherheitslücke handelt, die sich von der kürzlich gepatchten CVE-2025-6218 unterscheidet. Nebenbei bemerkt hat Obrela in letzter Zeit eine Zunahme von bösartigen .rar- und .zip-Archivdateien beobachtet, was auf eine erweiterte Bedrohungslandschaft im Zusammenhang mit Archivschwachstellen hindeuten könnte.
Betroffene Versionen:
Den Angaben des Bedrohungsakteurs zufolge betrifft die Sicherheitslücke die neueste und alle früheren Versionen von WinRAR.
Empfehlungen:
- Software auf dem neuesten Stand halten: Stellen Sie sicher, dass Ihre WinRAR-Anwendung immer auf die neueste Version aktualisiert ist. Auch wenn der Verkäufer behauptet, dass diese Schwachstelle die neueste Version betrifft, ist es eine wichtige allgemeine Sicherheitsmaßnahme, die Software auf dem neuesten Stand zu halten.
- Nicht vertrauenswürdige Absender: Prüfen Sie Archive, die von nicht vertrauenswürdigen Absendern stammen, doppelt und scannen Sie mit mindestens 2 AV-Lösungen.
- Warten Sie auf offizielle Patches: Achten Sie auf offizielle Ankündigungen von RARLAB, den Entwicklern von WinRAR, und bereiten Sie sich darauf vor, ein Sicherheits-Patch anzuwenden, sobald eines für diese angebliche Sicherheitslücke veröffentlicht wird.
Referenzen:
- https://x.com/darkeye_team/status/1942514413128286681
- https://habr.com/ru/news/926072/