Een ernstig beveiligingslek in WinRAR, dat al sinds juli 2025 is gedicht, wordt nog steeds volop misbruikt door cybercriminelen. Opvallend: volgens de Google Threat Intelligence Group (GTIG) gaat het in veel gevallen om door staten gesteunde actoren uit China en Rusland. De oorzaak is even simpel als zorgwekkend: veel gebruikers hebben hun WinRAR-installatie nooit bijgewerkt.
Het gaat om CVE-2025-8088, een kritieke kwetsbaarheid die inmiddels is verholpen in WinRAR versie 7.13. Toch blijft het lek een populaire aanvalsvector, omdat oudere versies van de archiveringssoftware nog wijdverspreid in gebruik zijn. De kwetsbaarheid draait om een zogeheten path traversal-fout. Aanvallers kunnen speciaal geprepareerde RAR-archieven maken die een verborgen payload bevatten. Zodra een gebruiker het archief opent, wordt die schadelijke code ongemerkt uitgepakt naar een gevoelige locatie in Windows.
Een favoriete bestemming is de Windows Startup-map. Malware die daar terechtkomt, wordt automatisch uitgevoerd bij de volgende herstart of aanmelding, zonder dat de gebruiker iets merkt. Op die manier krijgen aanvallers blijvende toegang tot het systeem.
Hoewel snelle internetverbindingen en cloudopslag archiefbestanden minder noodzakelijk maken, blijven programma’s als WinRAR, WinZip en 7-Zip verrassend populair. Ze bieden een eenvoudige manier om meerdere bestanden te bundelen, te comprimeren en te beveiligen met een wachtwoord, wat nog altijd handig is om grote of gevoelige bestanden te delen. WinRAR heeft bovendien een unieke status door zijn licentiemodel. Officieel geldt er een proefperiode van 40 dagen, maar in de praktijk blijft het programma onbeperkt bruikbaar. Veel gebruikers klikken simpelweg het waarschuwingsvenster weg en blijven WinRAR jarenlang gratis gebruiken. Precies daardoor hebben velen ook de beveiligingswaarschuwingen gemist die RARLAB later aan dat venster toevoegde.
Volgens GTIG wordt de kwetsbaarheid vooral ingezet voor spionagecampagnes, met name tegen Oekraïense militaire eenheden en overheidsinstellingen. Dat past in het bredere patroon van digitale oorlogsvoering dat sinds het uitbreken van het conflict zichtbaar is. Toch blijven de aanvallen niet beperkt tot geopolitieke doelwitten. Ook commerciële organisaties zijn slachtoffer geworden, met vastgestelde besmettingen in onder meer Indonesië, Latijns-Amerika en Brazilië. Dat maakt duidelijk dat iedereen met een verouderde WinRAR-versie een potentieel doelwit is.
De boodschap is helder: wie WinRAR op zijn pc heeft staan, doet er goed aan om meteen te controleren of de software up-to-date is. De kwetsbaarheid is opgelost, maar alleen wie effectief versie 7.13 of nieuwer gebruikt, is beschermd. Dat geldt ook voor wie al jaren probleemloos met dezelfde installatie werkt. Juist dat gevoel van vertrouwdheid maakt oudere software zo aantrekkelijk voor aanvallers. In dit geval kan één onschuldig ogend archief volstaan om malware diep in Windows te nestelen, en dat is een risico dat eenvoudig te vermijden is.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
