De Amerikaanse veiligheidsinstantie CISA slaat alarm over een ernstige kwetsbaarheid in WinRAR die hackers momenteel actief uitbuiten. Hoewel er al maanden een patch beschikbaar is, blijven veel gebruikers kwetsbaar – wat het probleem meteen illustreert van software die iedereen heeft, maar niemand update.
Een kritiek beveiligingslek in de populaire archiveringsoftware WinRAR wordt momenteel actief misbruikt door aanvallers, zo waarschuwt de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). De kwetsbaarheid, geregistreerd onder code CVE-2025-6218, scoort 7,8 op een schaal van 10 qua ernst – hoog genoeg om serieus genomen te worden.
Het gaat om een zogenoemde “path traversal”-kwetsbaarheid, een technisch klinkende term voor een in de praktijk verontrustend simpele aanvalsmethode. Door een speciaal geprepareerd archiefbestand (bijvoorbeeld een .RAR-bestand) kunnen aanvallers bestanden neerzetten in andere mappen dan degene die de gebruiker heeft gekozen bij het uitpakken. Zo kunnen kwaadwillenden bijvoorbeeld malware droppen in de map die Windows gebruikt tijdens het opstarten, waardoor schadelijke code automatisch wordt uitgevoerd zodra de computer opnieuw opstart.
Phishingmails als startpunt
Verschillende hackersgroepen maken gebruik van deze kwetsbaarheid, en doen dat volgens beveiligingsexperts nog steeds. Het aanvalspatroon is telkens hetzelfde: slachtoffers ontvangen een phishingmail met een op het oog onschuldig archiefbestand in de bijlage. Niets aan de hand, zou je denken – tot het moment dat ze het bestand uitpakken met WinRAR. Op dat moment begint achter de schermen de installatie van malware, zonder dat de gebruiker daar ook maar iets van merkt.
Het is een effectieve methode omdat WinRAR zo wijdverspreid is. Miljoenen computergebruikers wereldwijd hebben de software geïnstalleerd om gecomprimeerde bestanden te openen. Dat maakt het voor aanvallers tot een aantrekkelijk doelwit: één exploit, eindeloos veel potentiële slachtoffers.
Patch beschikbaar, maar wie update er nog?
Het goede nieuws is dat er al sinds juni 2024 een oplossing bestaat. Met de release van versie 7.12 dichtte ontwikkelaar RARlab de kwetsbaarheid. In augustus volgde ook nog versie 7.13, die een vergelijkbaar maar apart beveiligingslek wegwerkte. Gebruikers die op de nieuwste versie zitten, zijn dus veilig.
Het slechte nieuws: WinRAR is bij uitstek een van die programma’s die mensen ooit installeren en vervolgens jarenlang vergeten. Automatische updates? Die zijn er niet standaard. Een prominente melding dat er een nieuwe versie beschikbaar is? Ook dat ontbreekt vaak. Het resultaat: een enorme groep kwetsbare gebruikers die niet eens weet dat hun software een beveiligingsrisico vormt.
Overigens zijn alleen Windows-versies van WinRAR getroffen. Wie de software op bijvoorbeeld Android gebruikt, was sowieso veilig – al is het de vraag hoeveel mensen daar actief gebruik van maken.
Symptoom van een groter probleem
Deze situatie illustreert een hardnekkig probleem in de cybersecuritywereld. Ontwikkelaars kunnen nog zo snel patches uitbrengen, als gebruikers die niet installeren blijft het lek gewoon bestaan. En bij software zoals WinRAR – die meestal op de achtergrond functioneert en waar mensen pas aan denken wanneer ze een ZIP- of RAR-bestand moeten openen – is de kans klein dat iemand spontaan op zoek gaat naar updates.
CISA’s waarschuwing is dan ook vooral een wake-upcall voor iedereen die WinRAR op zijn systeem heeft staan: check welke versie je draait, en update indien nodig naar minimaal versie 7.12. Het kost een paar minuten, maar kan je een hoop ellende besparen.
Waakzaamheid blijft geboden
Natuurlijk lost een update alleen het technische probleem op. De menselijke factor blijft bestaan. Hoe up-to-date je software ook is, verdachte e-mails met bijlagen blijven een risico. Aanvallers passen hun tactieken voortdurend aan, en een nieuwe kwetsbaarheid ligt altijd op de loer.
Dus ja, update je WinRAR. Maar blijf ook kritisch kijken naar wat er in je mailbox binnenkomt. Een onverwachte bijlage van een onbekende afzender? Een .RAR-bestand dat je niet hebt aangevraagd? Die blijf je het beste gewoon negeren, gepatcht of niet.
Want uiteindelijk is de zwakste schakel in computerbeveiliging nog altijd niet de software, maar de gebruiker die op ‘openen’ klikt.
