Er is een ernstig beveiligingsprobleem ontdekt in WinRAR voor Windows en gebruikers moeten onmiddellijk updaten naar de nieuwste versie. De kwetsbaarheid, bijgehouden als CVE-2025-8088, is misbruikt bij daadwerkelijke phishing-aanvallen. Een aanvaller kan dit beveiligingslek misbruiken om een kwaadaardig archiefbestand te maken, waarbij de inhoud ervan op niet-geautoriseerde locaties op het systeem van het slachtoffer wordt geplaatst, inclusief Windows-mappen die programma's automatisch uitvoeren bij het opstarten.
Zodra een kwaadaardig bestand in deze mappen wordt geplaatst, kan het malware installeren of verborgen achterdeurtjes openen zonder verdere actie van de gebruiker.
Normaal gesproken zou WinRAR alleen bestanden uitpakken naar de door de gebruiker opgegeven doelmap. Het beveiligingslek, dat is geclassificeerd als een kwetsbaarheid bij het doorlopen van paden, kan er echter voor zorgen dat software bestanden op zeer gevoelige systeemlocaties plaatst, zoals de opstartmap van Windows voor een individuele gebruiker of voor alle gebruikers op de computer.
Malware die op deze locaties wordt geplaatst, wordt automatisch uitgevoerd telkens wanneer de computer opnieuw opstart, waardoor aanvallers het apparaat kunnen blijven controleren. Dit probleem treft Windows-versies van WinRAR en gerelateerde tools, waaronder RAR, UnRAR, Portable UnRAR Source en UnRAR.dll. Unix- of Android-versies worden niet beïnvloed.
De kwetsbaarheid werd ontdekt door ESET-beveiligingsonderzoekers Anton Cherepanov, Peter Košinár en Peter Strýček. Uit hun onderzoek bleek dat een hackergroep bekend als RomCom (ook bekend als Storm-0978, Tropical Scorpius of UNC2596) deze kwetsbaarheid actief heeft misbruikt om spearphishing-aanvallen uit te voeren.
Bij deze aanvallen ontvangen de slachtoffers e-mails met geïnfecteerde RAR-bestanden. Wanneer deze kwaadaardige bestanden worden geopend met oudere versies van WinRAR, zetten ze RomCom-malware in die gevoelige informatie kan stelen, extra malware kan installeren en langdurige verborgen toegang tot geïnfecteerde systemen kan bieden.
RomCom is in verband gebracht met Russische cyberspionage en staat bekend om het exploiteren van niet-openbaar gemaakte softwarekwetsbaarheden voor spionage- en ransomware-aanvallen. De malware maakt doorgaans gebruik van gecodeerde communicatie en is verborgen in legitieme systeemtools, ontworpen om beveiligingsdetectie te omzeilen.
Om dit probleem op te lossen, hebben WinRAR-ontwikkelaars op 30 juli 2025 de definitieve versie 7.13 uitgebracht. Deze update voorkomt dat archiefbestanden inhoud buiten de door de gebruiker opgegeven extractielocatie plaatsen en repareert een aantal niet-gerelateerde kleine bugs. WinRAR wordt echter niet automatisch bijgewerkt; gebruikers moeten nieuwe versies handmatig downloaden en installeren vanaf de officiële website.
Met meer dan 500 miljoen gebruikers wereldwijd is WinRAR een belangrijk doelwit voor cybercriminelen. Dit is niet het eerste beveiligingsprobleem dat de afgelopen maanden in de software is opgetreden; een andere kwetsbaarheid met kwaadaardige archiefbestanden werd in 2025 ook verholpen.
Beveiligingsexperts benadrukken het belang van het up-to-date houden van WinRAR. Ze raden ook aan voorzichtig te zijn met het openen van e-mailbijlagen van onbekende afzenders, het gebruik van antivirussoftware die verborgen bedreigingen in archiefbestanden kan detecteren en het regelmatig controleren van opstartmappen op onbekende bestanden, aangezien deze bestanden vaak toegangspunten voor malware zijn.