In den letzten Monaten wurde eine traurige, aber bestimmte Regel der Welt der Cybersicherheit wiederhergestellt: eine einzige gut genutzte Sicherheitslücke kann viele Türen öffnen. Der Ausfall bekannt als CVE-2025-8088 In WinRAR wurde ein Routen-Reiseversagen kombiniert mit der Nutzung von NTFS's Alternate Data Streams (ADS) von beiden staatlich unterstützten Gruppen und von gewinnorientierten Cyber-Kriminellen Bands ausgenutzt und das Ergebnis war die Lieferung aller Arten von Malware mit sehr unterschiedlichen Zielen und Techniken.
Um zu verstehen, warum dieser Misserfolg so viel Flares verursacht hat, müssen Sie zuerst klären, was ADS sind. In NTFS-Dateisystemen besteht die Möglichkeit, alternative Datenflüsse an die gleiche Datei zu befestigen; sie sind für den typischen Benutzer unsichtbar und seit Jahren rechtmäßig verwendet worden, aber sie können auch verwendet werden, um bösartigen Code in einer scheinbar harmlosen Datei zu verstecken. Microsoft widmet diese Strukturen auf seiner Entwicklungsseite der technischen Dokumentation und ist ein guter Ausgangspunkt, um das Problem zu verstehen: Ändern von Datenströmen (Microsoft).
Der von den Forschern beschriebene Operationsvektor besteht darin, eine Datei (z.B. eine .rar) zu erstellen, die ein legitimes Dokument enthält, das als Deko dient und zusammen mit dieser ADS-Einträge mit versteckten Belastungen. Wenn WinRAR den Inhalt entfernt, ermöglicht eine schlechte Routenvalidierung Ihnen, diese ADS-Eingänge aus dem Container zu nehmen und in beliebige Systemstandorte zu schreiben, einschließlich automatischer Startordner. Diese Belastungen werden in der Regel als direkte Zugriffe (.LNK), HTA-Dateien, .BT / .CMD-Skripte oder kleine Downloads, die laufen, wenn Sie sich in Windows anmelden, geben den Angreifer persistent.
Die erste öffentliche Benachrichtigung über die aktive Nutzung dieses Misserfolgs kam von ESET-Forschern, die Angriffe auf eine Gruppe identifizierten, die mit Russland als RomCom (auch genannt CIGAR oder UNC4895). Das Google-Drohungs-Geheimdienst dokumentierte anschließend, dass die Farmen seit Mitte Juli 2025 beobachtet werden und dass die Aktivität weitergeht, wobei sowohl staatliche als auch kriminelle Akteure, die wirtschaftlichen Gewinn verfolgen. Die Google-Analyse ist in weiteren technischen Details und Beispielen in ihrer Veröffentlichung verfügbar: Google Threat Intelligence Group - Eine kritische WinRAR Sicherheitslücke.
Die beobachteten Systeme sind unterschiedlich. Unter den motivierten Spionage-Kampagnen wurden Sendungen an ukrainische Militäreinheiten mit Lures in ukrainischer Sprache, Einsatz von Malware-Familien wie STOCKSTAY oder NESTPACKER (auch bekannt als Snipbot) dokumentiert und die Platzierung von HTA-Disarden in Startordnernern, die auch nach Neuanfängen dauerhaften Zugriff erhalten. Andere Akteure, die mit China verbunden sind, haben den gleichen Weg gemacht, um Batch-Dateien (.BT) zu hinterlassen, die wiederum Komponenten wie POISONIVY herunterladen und aktivieren. Parallel dazu haben Cybercrime-Bands die Sicherheitslücke genutzt, um Remote Access-Tools und Trojaner-Informationen wie XWorm oder AsyncrAT, schädliche Browser-Erweiterungen, die auf Bankdiebstahl und Telegram Bots-gesteuerte Back-Türen ausgerichtet sind, zu verbreiten.
Einer der Faktoren, die diese Verbreitung erleichtert, ist die Existenz eines Marktes für Exploits: spezialisierte Anbieter bieten Dritten funktionalen Code, um Preisverwundbarkeiten zu nutzen, die nach Berichten sehr hoch werden können. Google und andere Sicherheitsfirmen interpretieren diese Dynamik als die Vermarktung von Sprengstoffen, ein Phänomen, das die technische Barriere für weniger anspruchsvolle Akteure reduziert, um unpatched Systeme effektiv anzugreifen.
Aus defensive Sicht ist die direkteste Empfehlung, Patches so schnell wie möglich anzuwenden: Wenn Sie WinRAR installiert haben, suchen und aktualisieren Sie die vom Lieferanten korrigierte Version. Darüber hinaus ist es angebracht, die Belichtung mit diesem Vektor zu reduzieren, indem komprimierte Dateien, die von nicht verifizierten Absendern empfangen wurden, nicht geöffnet werden, und durch die Einrichtung von Richtlinien, die die automatische Ausführung von Dateien von temporären Extraktionsorten oder dem nicht überwachten Startordner verhindern. Endpoints-Schutz-Tools, die in kritischen Ordnern ungewöhnliche Schriften erkennen und die Erstellung von direkten Zugriffen überwachen können und HTA auch dazu beitragen, persistente Versuche zu erkennen.
Organisationen und Administratoren können diese Maßnahmen mit Anwendungskontrollen ergänzen und Einschränkungen zulassen: beschränkte Privilegien für Benutzerkonten aufrecht erhalten, weiße Implementierungslisten anwenden, wenn dies möglich ist und Erkennungsmechanismen in EDR / AV-Lösungen mit den von Lieferanten bereitgestellten Signaturen und Regeln aktualisiert werden. Für Beamte der öffentlichen und privaten Sicherheit empfiehlt es sich, den Mitteilungen und Katalogen aktiver Sicherheitslücken, wie z. B. der NVD für den Eintrag von CVE ( CVE-2025-8088 - NVD) und die Sammlung aktiv genutzter Schwachstellen, die von CISA veröffentlicht wurden ( CISA - KEV Katalog)
Während viel von der Aufmerksamkeit auf WinRAR fällt, ist das Problem des Hintergrunds breiter: Angreifer kombinieren verdeckte Techniken im Dateisystem mit operativen Ketten und Dienstleistungen, die im heimischen Markt verkauft werden, um einen schnellen und anhaltenden Zugang zu wertvollen Zielen zu erreichen. Die Lektion für Manager und Nutzer ist klar: die Aufrechterhaltung aktueller Software, die Begrenzung der automatischen Ausführung von Inhalten und die Ergänzung dieser guten Praktiken mit koordinierter Erkennung und Reaktion reduziert das Risiko, dass sie solche Fehler wie CVE-2025-8088 darstellen.
Für diejenigen, die die von Forschern beobachteten Indikatoren und Taktiken vertiefen wollen, veröffentlichen ESET und Google-Teams technische und kontextuelle Analysen, die dazu beitragen, Muster zu identifizieren und effektivere Erkennungsregeln zu entwerfen. Die ESET-Forschungsseite ist ein guter Punkt für die Suche nach verwandten Studien: ESET - WeLiveSecurity und der Google-Bericht liefert konkrete Beispiele dafür, wie die Kette der Ausbeutung aufgebaut ist: GTIG - Betriebsanalyse.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...