Hackers blijven een reeds gepatchte kwetsbaarheid in WinRAR misbruiken om systemen binnen te dringen. Zowel statelijke als financieel gemotiveerde aanvallers gebruiken het lek op grote schaal.
Een ernstig beveiligingslek in WinRAR, aangeduid als CVE-2025-8088, wordt actief uitgebuit door verschillende cybercriminelen en statelijke actoren, ondanks dat het probleem sinds juli is gepatcht. Dat meldt het Threat Intelligence-team dat op de loonlijst van Google staat. Russische hackers hebben de WinRAR-kwetsbaarheid sinds de zomer al in het vizier.
Het lek laat toe dat aanvallers bestanden kunnen plaatsen in de opstartmap van Windows, wat hen toelaat om toegang te behouden tot het systeem. Kwetsbaarheden in WinRAR zijn gevaarlijk omdat ze de ingebouwde beveiliging in Windows kunnen omzeilen.
Toegang via verborgen bestandspaden
De kwetsbaarheid laat aanvallers toe om via alternatieve datastromen bestanden op ongewenste locaties te schrijven. Vaak worden deze verborgen in een archiefbestand dat een onschuldig document bevat, terwijl op de achtergrond een schadelijk bestand wordt geplaatst in de map die automatisch programma’s start bij het opstarten van Windows. Deze methode vereist geen interactie van de gebruiker buiten het openen van het RAR-bestand in een kwetsbare versie van WinRAR.
RARLAB, de ontwikkelaar van WinRAR, bracht op 30 juli 2025 een update uit (versie 7.13) die het probleem verhelpt. Toch blijkt uit de observaties van Google dat veel systemen nog steeds kwetsbaar zijn door trage updatepraktijken: helaas een zeer koppig fenomeen in de IT-wereld. IT-beheerders worden aangeraden om updates onmiddellijk uit te rollen en systemen actief te monitoren op de beschreven aanvalsmethodes.
lees ook
Beveiligingstip: geef patchen de hoogste prioriteit
Statelijke en criminele actoren actief
Zowel statelijke als criminele groepen maken gebruik van deze kwetsbaarheid, meldt Google. Groepen die gelinkt zijn aan Rusland, zoals UNC4895, APT44, en Turla viseren vooral Oekraïense overheids- en militaire doelwitten met op maat gemaakte phishingcampagnes. China-gelieerde actoren en hackers die uit financiële motieven handelen zijn minder kieskeurig in hun doelwitten.
Deze campagnes zijn wereldwijd actief, waarschuwt Google. De payloads worden vaak gedownload via Dropbox of verborgen in HTML-bestanden. Google wijst ook op een levendige ondergrondse markt voor deze exploits. De commercialisering van exploits verlaagt de drempel voor aanvallers en versnelt verspreiding.