Aanvallers maken nog altijd misbruik van een oud beveiligingslek in het populaire archiveringsprogramma WinRAR, zo meldt antivirusbedrijf Trend Micro. Volgens de virusbestrijder blijven aanvallers de kwetsbaarheid inzetten omdat die lastig voor organisaties te patchen is. Het path traversal-lek (CVE-2025-8088) zorgt ervoor dat een aanvaller bestanden naar willekeurige mappen kan schrijven als het doelwit een speciaal geprepareerd bestand opent.

De gebruiker krijgt als afleidingsmanoeuvre bijvoorbeeld een pdf-document te zien, terwijl er in de achtergrond een bestand in de Windows Startup map is geplaatst. Dit bestand wordt de volgende keer dat de gebruiker inlogt automatisch uitgevoerd en zorgt ervoor dat het systeem met malware besmet raakt. Het probleem werd op 24 juli vorig jaar verholpen in de bètaversie van WinRAR 7.13. De definitieve versie van WinRAR 7.13 verscheen op 30 juli. Aanvallers maakten al voor het verschijnen van de updates misbruik van het probleem.

Google meldde begin dit jaar grootschalig misbruik van het WinRAR-lek door verschillende groepen aanvallers. Een half jaar later wordt de kwetsbaarheid nog altijd bij aanvallen ingezet, aldus Trend Micro. "De kwetsbaarheid werkt omdat WinRAR op genoeg endpoints niet gepatcht is", aldus de virusbestrijder. Hierdoor loont het voor aanvallers om misbruik van het lek te blijven maken.

WinRAR beschikt niet over een automatische updatefunctie, ondersteunt geen Group Policy en valt buiten zakelijke patchsystemen zoals WSUS, SCCM of Intune, merkt het antivirusbedrijf op. Het controleren van de patchstatus op honderden endpoint vereist zodoende third-party tools of een handmatige controle, aldus Trend Micro. "Software met deze eigenschappen blijft lang te misbruiken nadat patches zijn verschenen, wat voor een permanente blinde vlek in het vulnerability management van organisaties zorgt."