Update je WinRAR — hackers misbruiken een pad-traversal-bug (CVE-2025-8088)

WinRAR heeft versie 7.13 uitgebracht met een fix voor een directory-traversal-kwetsbaarheid (CVE-2025-8088). Onderzoekers hebben inmiddels aangetoond dat aanvallers deze kwetsbaarheid actief misbruiken om malware op systemen te plaatsen.

Wat is het probleem?
De fout zit in UNRAR.dll, de kernbibliotheek die verantwoordelijk is voor het uitpakken van RAR-bestanden. Een kwaadaardig geconstrueerd archief kan een pad bevatten dat door de software wordt gebruikt in plaats van de map die de gebruiker heeft gekozen. Daardoor kan een bestand naar een door de aanvaller gekozen locatie worden weggeschreven in plaats van alleen in de bedoelde uitpakmap.

Waarom is dat gevaarlijk?
Aanvallers kunnen hiermee payloads neerzetten op gevoelige locaties, bijvoorbeeld in de Startup-map. Als er een uitvoerbaar bestand geplaatst wordt in
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
dan wordt die malware automatisch uitgevoerd zodra de gebruiker inlogt — wat neerkomt op remote code execution op het getroffen systeem.

Wie doen dit en welke malware gebruiken ze?
De activiteiten worden toegeschreven aan de groep die met RomCom-malware werkt. RomCom is een Remote Access Trojan (RAT) die al sinds minstens 2022 in omloop is. De groep gebruikt vaak social engineering — bijvoorbeeld door nep-installers te maskeren als legitieme software — om slachtoffers te laten klikken en zo de RAT te installeren. Hun aanvallen richtten zich historisch op landen als Oekraïne en meerdere NAVO-landen.

Niet de eerste keer dit jaar
Dit is niet de eerste directory-traversal-kwetsbaarheid die dit jaar in WinRAR is aangepakt. Eerder dit jaar werd een vergelijkbare fout (CVE-2025-6218) opgelost in versie 7.12.

Belangrijke praktische punten

• WinRAR heeft geen automatische updatefunctie; gebruikers moeten handmatig naar de officiële site gaan en versie 7.13 downloaden en installeren om de patch te krijgen.

• De ontwikkelaars melden dat Unix-versies van RAR/UnRAR en RAR voor Android niet door deze specifieke kwetsbaarheid worden geraakt.

Wat kun je doen?

• Update direct naar WinRAR 7.13 via de officiële WinRAR-downloadpagina.
• Open geen archieven van onbetrouwbare bronnen en voer geen ongecontroleerde .exe-bestanden uit die uit een archief komen.
• Laat je antivirus/EDR up-to-date draaien en voer een volledige scan uit als je denkt dat je mogelijk geïnfecteerd bent.
• Controleer je opstartmappen en geplande taken op onbekende items en verwijder verdachte bestanden of herstel vanaf backups als dat nodig is.

Kort gezegd: installeer versie 7.13 en wees voorzichtig met RAR-bestanden van onbekende of niet-vertrouwde bronnen.

Door: Drifter