Kurze Information für Nutzer von Packprogrammen wie 7-ZIP und WinRAR. Beide Programme werden über ältere Schwachstellen, die längst gepatcht sein sollten, angegriffen. AMD hat seinen Grafiktreiber zum 10. Dez. 2025 aktualisiert, liefert aber die alten, angreifbare 7-Zip-Dateien aus. WinRAR ist in die CISA-Liste der angegriffenen Schwachstellen aufgenommen worden.
Angriffe auf 7-ZIP über CVE-2025-11001
Blog-Leser Benny hat im Diskussionsbereich die Information "Aktive Angriffe auf 7zip wurden heute in freier Wildbahn beobachtet." eingestellt (danke dafür).
7-ZIP-Schwachstelle CVE-2025-11001
Ich hatte zum 22. November 2025 im Beitrag 7-ZIP-Schwachstelle CVE-2025-11001: Exploits und Angriffe, AMD-Nutzer müssen handeln berichtet, dass es in 7-ZIP (vor Version 25.x) die Schwachstelle CVE-2025-11001 gibt. Die Schwachstelle CVE-2025-11001 wurde mit einem CVSS 3.1 Base Score von 7.0 (High) bewertet. Es handelt sich um eine File Parsing Directory Traversal Remote Code Execution-Schwachstelle im Entpacker von 7-Zip ZIP.
Die spezifische Schwachstelle besteht in der Verarbeitung symbolischer Links in ZIP-Dateien. Speziell gestaltete Daten in einer ZIP-Datei können dazu führen, dass der Prozess in unbeabsichtigte Verzeichnisse gelangt. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Code im Kontext eines Dienstkontos auszuführen.
Diese Sicherheitslücke ermöglicht es Remote-Angreifern beliebigen Code auf betroffenen Installationen von 7-Zip auszuführen. Um diese Sicherheitslücke auszunutzen, ist eine Interaktion mit diesem Produkt erforderlich, wobei die Angriffsvektoren je nach Implementierung variieren können. Bereits im November 2025 hatte ich geschrieben, dass Exploits bekannt sind und die Schwachstelle angegriffen wird. Der 7-Zip-Entwickler hat im Juli 2025 mit der 7-Zip-Version 25.x einen Fix für sein Produkt veröffentlicht. Ich bin davon ausgegangen, dass Nutzer 7-ZIP längst gepatcht haben.
Problem Anwendungen und AMD-Grafiktreiber
In meinem Beitrag hatte ich darauf hingewiesen, dass Anwendungen, in denen alte 7-ZIP-Versionen mit ausgeliefert werden, ein Problem darstellen. Dort findet sich im November 2025 der Hinweis, dass die AMD-Grafiktreiber noch die alte 7-ZIP-Dateien enthalten.
Blog-Leser Benny schrieb im Diskussionsbereich, dass AMD zum 10. Dezember 2025 einen neuen AMD Adrenalin Radeon-Treiber 25.12.1 (WHQL) veröffentlicht hat. Mir ist dieses Update in obigem Tweet aufgefallen, wo es heißt, dass diverse Fixes für Spiele ausgerollt werden. Die Kollegen von deskmodder.de haben hier einige Hinweise. Dieser Treiber kommt noch mit der alten 7z.dll und 7z.exe v24.09. Die Dateien finden sich im Verzeichnis:
C:\Program Files\AMD\AMDInstallManager
Carsten weist in diesem Kommentar darauf hin, dass AMD die Dateien noch anderswo abgelegt hat und nennt folgende Pfade:
C:\Program Files\AMD\CIM\Bin64 C:\Program Files\AMD\CNext\CNext
Nutzer müssen also die betreffenden Dateien manuell aktualisieren, wenn sie den Grafiktreiber updaten.
WinRAR-Schwachstelle CVE-2025-6218 in CISA-Liste
Nachfolgendem Tweet habe ich entnommen, dass die WinRAR-Schwachstelle CVE-2025-6218 in die CISA-Liste der angegriffenen Schwachstellen aufgenommen wurde.
Es handelt sich um eine RARLAB WinRAR Directory Traversal Remote Code Execution-Schwachstelle. Diese Sicherheitslücke ermöglicht es Angreifern, auf entfernten Rechnern beliebigen Code auf betroffenen Installationen von RARLAB WinRAR auszuführen. Um diese Sicherheitslücke auszunutzen, ist eine Interaktion des Benutzers erforderlich, d. h. das Ziel muss eine bösartige Seite besuchen oder eine bösartige Datei öffnen.
Die spezifische Schwachstelle besteht in der Verarbeitung von Dateipfaden innerhalb von Archivdateien. Ein speziell gestalteter Dateipfad kann dazu führen, dass der Prozess in unbeabsichtigte Verzeichnisse gelangt. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Code im Kontext des aktuellen Benutzers auszuführen. Das betrifft die Version 7.11 (64-bit) – und das Ganze ist seit dem 20.6.2025 bekannt – die Sicherheitshinweise wurden zum 9.12.2025 aber aktualisiert. The Hacker News hat im Beitrag Warning: WinRAR Vulnerability CVE-2025-6218 Under Active Attack by Multiple Threat Groups berichtet.
MVP: 2013 – 2016
Die 7zip Schwachstelle ist doch nur ein Problem wenn 7zip nicht installiert ist oder als portabel läuft. Ist 7zip ordentlich installiert (Also mit Pfad in Regestry) wird bei einem 7zip Archiv immer die installierte (und gepatchte) 7Zip aufgerufen. So ist das zumindest hier… wie sich ein verseuchtes Archiv verhält kann ich Mangels Muster nicht beurteilen… sollte da dann aber ebenso die installierte Version aufrufen.
Klar ist das eine Schande für nen Entwickler, insbesondere für AMD, da nicht gefixt zu haben, da die ja nicht auf ein ordentliches installiertes 7zip hoffen können. Nutzt ja schließlich nicht jeder.
Software und Produkthaftung ein leidiges Thema…
Nicht unbedingt.
Es gibt durchaus tumbe Softwareentwickler, die die Pfade hardcodieren.
Da wird dann immer die eigene mitgelieferte Version ausgeführt anstatt die separat installierte Version.
7-Zip
Igor Wiktorowitsch Pawlow, russischer freischaffender Programmierer, Ersteller von 7-Zip
https://de.wikipedia.org/wiki/7-Zip
WinRAR
Jewgeni Lasarewitsch Roschal (in der englischen Form Eugene Roshal) ist ein russischer Programmierer. Seit 2004 tritt Roschals Bruder Alexander Roshal als Rechteinhaber auf.
https://de.wikipedia.org/wiki/Jewgeni_Lasarewitsch_Roschal
Und jetzt?
Könnte es sein, dass neben den Amerikanern auch der russische Staat über diese beiden russischen Entwickler je einen Fuß in wahrscheinlich sämtlichen Windows-PCs dieser Welt drin hat? Selbst wenn man 7-Zip und WinRar nicht installiert hat, hat man Defender, einen Grafiktreiber von AMD oder nVidia, oder UniGetUi, oder …
Eigentlich müsste das mal beleuchtet werden.
Ein Laufwerk nach angreifbaren Versionen zu durchsuchen und dann diese explizit zu nutzen, egal wo sie liegen, ist ja nun auch kein Hexenwerk. Potentielle Angreifer lieben solche Living off the Land Attacken.
Momentan macht ein ähnlicher Angriffsvektor zu Notepad++ die Runde.
Das ist ein völlig anderer Angriffsvektor.
Bei Notepad++ war das schon noch anders gelagert, da brauchte es Malware oder einen MitM um den Updater auf eine Fremdseite umzuleiten. Die Lücke bestand da "nur" darin, dass der Updater keine Signaturprüfung durchgeführt hatte.
Lücken speziell in 7zip sind gerade deshalb fies, weil doch etliche Programme oder installer die in bestimmten Versionen mitbringen. Und diese bei Updates eher selten bis gar nicht dran denken, dann auch neuere 7zip Versionen mitzubringen. So kann man dann auch durchaus diverse Versionen davon auf dem System haben, ohne das zu wissen.
Es sind beides Living off the Land Attacken. Und auch um die 7Zip-Sicherheitslücke auszunutzen, wird eine entsprechend manipulierte Archivdatei benötigt.
Kann man diese Dateien so einfach ersetzen?
AMD hat sie signiert und die Uninstaller arbeiten dann unter Umständen nicht mehr einwandfrei.
Hinzu kommt noch, dass sie bei einem Update erst wieder mit den Versionen aus dem neuen Update überschrieben werden bevor sie dann ggf. verwendet werden. Siehe ihr Änderungsdatum und Zeitstempel in der Signatur.
AMD ist da auch bei weitem nicht der einzige, der sie als Teil seines (Un)installers nach wie vor installiert.
Hier hat z. B. gerade AOMEI durch ein Update vor ein paar Tagen wieder eine vulnerable und signierte 7z.dll und 7z.exe erneut über eine zuvor unsignierte und ersetzte drübergebügelt.
Sinnvoller dürfte es deshalb sein einfach die Zugriffsrechte für Nichtadministratoren auf diese Dateien zu entziehen.
Die wahre Zeitbombe dürfte bei vielen derzeit aber eher im von UniGetUI mitinstallierten und per Default aktivierten Chocolate schlummern. Es lässt sich dort wesentlich leichter ausnutzen. Allerdings kann man hier die 7z.dll problemlos ersetzen. Sie ist unsigniert. Das ist aber ggf. auch nur bis zum nächsten Update von UniGetUI selbst wirksam.
Grundsätzlich kann der Defender seit Oktober alle vulnerablen 7z.dll beim Laden ersetzen. Ob das aber für alle oder nur mit EDR Aufzahlung auch tatsächlich aktiviert ist weiß ich nicht. Wo der Defender deaktiviert oder durch ein anderes Produkt ersetzt ist funktioniert es definitiv nicht.
Danke für die Ergänzungen.
Defender-Enterprise bringt doch selbst veraltete 7z.dll mit, an drei Stellen. Und erkennen tut Defender die verwundbaren Versionen auch nicht (in Intune). Und sie sind übrigens nicht unsigniert, genauso wenig wie die von AMD, UniGetUI und AOMEI. Im Gegenteil, sie sind über ihre vom 7-Zip-Entwickler integrierte Original-Signatur eindeutig identifizierbar.
Win10\Win11 Consumer
Windows Defender Advanced Threat Protection benutzt auch noch immer die alte 24.09 Version von 7Zip in einem Unterordner von Program Files\Windows Defender Advanced Threat Protection\Classification\Dprt\x64… und Windows\WinSxS…
Ps. Können unter (Dprt\x64…) nur entfernt werden wenn das OS nicht läuft und die können nicht per Hand getauscht werden, ohne das der Defender dann beim nächsten Sig-Update ganz den dienst einstellt.
Sollte mal ganz fix behoben werden von MS!
Das dachte ich erst auch.
Es ist aber die Version, bis zu der erkannt und ersetzt wird. Das war zuerst nur die z. B. von AMD verwendete .20.
Ob das aber wirklich funktionieren wird. Und in allen Fällen unter allen Umständen?
Da glaube ich lieber noch an das Christkind. Und Ho Ho den Weihnachtsmann.
Angeregt durch den Artikel bin ich mal bei mir auf die suche gegangen. Gefunden habe ich im Nvidia Treiber Paket eine 7z.exe Version 22.1.0.0 vom 16.10.2025
Zu finden unter c:\Program Files\NVIDIA Corporation\NVIDIA app\
Die wäre dann sogar von 2023, siehe: https://github.com/ip7z/7zip/releases
korrekt, meine Datumsangabe ist missverständlich. Das Treiberpaket wurde bei mir am 8.12.25 aktualisiert. Die besagte 7z.exe hat dabei den Timestamp 16.10.25 und ist die von dir angemerkte sehr alte Version aus 2023. In der Liste der installierten Programme ist diese NVIDIA App mit der Version 11.0.5.420 vermerkt. Der Grafiktreiber hat die Paketnummer 581.80
die 7z.dll hatte ich nicht auf dem Schirm. Erschreckend wo die überall drinsteckt.
winmerge – in der Version 2.16.52.2 gefixt, aktuelle dll drin
Samsung SmartSwitch, Version 4.3.24094.1 aktuell, alte V22 dll enthalten
Ich kopiere hier mal meinen Beitrag von gestern aus dem alten Thema:
Hallo zusammen,
so ganz scheint das in der Welt noch nicht angekommen zu sein.
AMD hat heute den 25.12.1 rausgehauen und ich staune nicht schlecht.
7z.exe = 24.9.0.0
Also irgendwie hat sich da gar nichts getan. :-D
Aber mal bzgl. poiuz Powershell-Suche, es geht noch viel schlimmer:
C:\Program Files\AMD\AMDInstallManager\7z.dll 24.09
C:\Program Files\AMD\AMDInstallManager\7z.exe 24.09
C:\Program Files\AMD\CIM\Bin64\7z.dll 24.09
C:\Program Files\AMD\CIM\Bin64\7z.exe 24.09
C:\Program Files\AMD\CNext\CNext\7z.dll 24.09
C:\Program Files\AMD\CNext\CNext\7z.exe 24.09
OK soweit klar, aber nun
C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Dprt\x64\7z.dll 24.09
C:\Program Files (x86)\Buhl\Mein Büro\7z.dll 9.20
C:\Program Files (x86)\SanDisk\Dashboard\7za.exe 9.38 beta
Grüße
Wir haben bei uns eine Software laufen, ich könnte den Hersteller dafür erwürgen, die lädt vom Hersteller zur Laufzeit (nicht nur) 7z.exe und dll herunter, speichert es ins Userprofil und startet es von dort aus um Daten zu komprimieren und entkomprimieren. Wir haben Applocker aktiv. Wegen dieser Applikation musste ich extra eine Applocker-Regel auf Basis des 7-Zip integrierten Zertifikats erstellen, damit das funktioniert.
Die aktuellen 7-Zip 25.0 und 25.1 Dateien sind nicht mehr signiert. Die Applocker-Regel greift nicht mehr. Dabei ist 7-Zip auf den Systemen regulär installiert und könnte verwendet werden. Ich weiß noch nicht, für welchen Hersteller (unsere Software oder "Mr. Sevenzip") ich mich entscheide, um den Würgegriff anzusetzen. Das ist alles so amateurhaft krank.
Warum habt ihr diese Software dieses Herstellers laufen, die sowas macht? Das ist die eigentliche Frage in diesem Fall.
Vermutlich Spezialsoftware, vermutlich sehr speziell, bekommt man nicht an jeder Straßenecke. Um sowas kommt man manchmal nicht drumherum, weil der Hersteller mit seinem Spezialwissen ein Monopol hat. Aber Software so zu gestalten, dass sie Tools aus dem Userprofil startet, ist schon eine Schweinerei, dem Hersteller würde ich an die Gurgel gehen.
Microsoft macht es doch vor. Früher war es ganz logisch und normal, dass Programme nur von Usern mit Adminrechten installiert werden konnten und dann aus dem Programmordner gestartet wurden, in dem installiert wurde. Der normale Endnutzer hat in dem Ordner Lese und Ausführungsrechte, aber eben keine Schreibrechte.
Dann kam Microsoft mit Teams auf die glorreiche Idee, das Ganze im Userkontext zu installieren, weil einfacher und nun liegt bei Rechnern, die von mehreren Usern verwendet werden, schön in jedem Appdata Local eine eigene Kopie von Teams. Am besten noch in verschiedenen Versionen. Und andere machen das dann halt nach.
Danke, das fand ich auch extrem hirntot, damals wie heute. Aber es begann ja schon mit Appx, wo ich in jedem Benutzerprofil sachen wie OneDrive deinstallieren muss. Citrix Workspace kann diesen Trick auch schon lange. Es ist echt traurig.
Und ja, in vielen Ecken hat man es mit Spezial-Software zu tun, um die man nicht wirklich drum herum kommt, will man nicht drei andere Lösungen, jede mit eigener GUI-Philosophie, mit komplexen Schnittstellen verkuppeln und sowohl Anwender wie Helpdesk, maximal strapazieren.
Da machen eben solche Klitschen schöne Präsentationen und schicke Websites, die GF und Fachabteilungen kriegen funkelnde Augen und wer wird erst gefragt, wenns ans Installieren geht?
Insbesondere das "Herunterladen zur Laufzeit" wäre da auch ein Diskussionspunkt.