7-Zip: Sicherheitslücke ermöglicht Systemübernahme via ZIP-Datei

Cybersecurity-Behörden schlagen Alarm: Eine kritische Schwachstelle in der beliebten Kompressionssoftware 7-Zip erlaubt Angreifern die vollständige Kontrolle über Computer – einfach durch das Öffnen einer präparierten ZIP-Datei. Besonders brisant: Die Software aktualisiert sich nicht automatisch, Millionen Nutzer sind schutzlos.

Die als CVE-2025-11001 katalogisierte Sicherheitslücke betrifft alle 7-Zip-Versionen von 21.02 bis 24.09 auf Windows-Systemen. Nachdem ein öffentlich zugänglicher Exploit-Code veröffentlicht wurde, warnen Experten vor einer raschen Ausbreitung von Angriffen. Besonders gefährdet: Unternehmensnetzwerke, in denen die Software häufig mit erweiterten Rechten läuft.

Die Lage verschärfte sich Mitte dieser Woche dramatisch, als NHS England Digital eine Sicherheitswarnung mit der Einstufung “hohes Risiko” veröffentlichte. Zunächst sprach die britische Gesundheitsbehörde von “aktiv ausgenutzten Angriffen in freier Wildbahn” – eine Formulierung, die später präzisiert wurde.

Am Mittwoch, 19. November, korrigierte NHS England die Einschätzung: Man habe noch keine konkreten Angriffe bestätigt, sei aber “über einen öffentlich verfügbaren Proof-of-Concept-Exploit informiert”. Die Behörde warnt dennoch eindringlich vor der Schwachstelle mit einem CVSS-Score von 7.0 (hoch).

Viele Unternehmen unterschätzen, wie schnell ein öffentlich verfügbarer Exploit zu massenhaften RCE-Angriffen führen kann – besonders bei weit verbreiteten Tools wie 7‑Zip, die kein automatisches Update haben. Unser kostenloses E‑Book erklärt praxisnahe Sofortmaßnahmen, Audit‑Checklisten für IT‑Teams und konkrete Schritte, um verwundbare Installationen zu finden und zu schließen. Es enthält konkrete Sofortmaßnahmen und Audit‑Checklisten, mit denen Sie Ihre Angriffsflächen binnen Stunden reduzieren. Kostenloses Cyber‑Security‑E‑Book für IT‑Verantwortliche herunterladen

Die Zero Day Initiative (ZDI) analysiert in ihrem Bericht: “Die spezifische Schwachstelle liegt in der Verarbeitung symbolischer Links innerhalb von ZIP-Dateien. Manipulierte Daten können den Entpackvorgang veranlassen, auf nicht vorgesehene Verzeichnisse zuzugreifen.”

So funktioniert die “Symlink”-Attacke

Bei der Sicherheitslücke handelt es sich um ein Directory Traversal-Problem. Vereinfacht ausgedrückt: 7-Zip prüft unzureichend, wohin sogenannte “symbolische Links” (Symlinks) – vergleichbar mit Windows-Verknüpfungen – tatsächlich verweisen.

Ein Angreifer erstellt eine bösartige ZIP-Datei mit einem Symlink, der auf sensible Systembereiche außerhalb des vorgesehenen Entpackordners zeigt. Öffnet ein Nutzer das Archiv, können kritische Systemdateien überschrieben oder Schadsoftware in Autostart-Ordnern platziert werden.

Das Resultat: Remote Code Execution (RCE) – vollständige Kontrolle über den Computer des Opfers.

“Die Schwachstelle lässt sich nur im Kontext eines privilegierten Nutzer- oder Dienstkontos ausnutzen”, erklärt Sicherheitsforscher Dominik (bekannt als ‘pacbypass’), der technische Details zum Exploit veröffentlichte. Gerade diese Einschränkung macht die Lücke für Unternehmensumgebungen gefährlich, wo 7-Zip häufig von automatisierten Skripten oder Diensten mit Administratorrechten genutzt wird.

Verwirrung um “aktive Angriffe”

Die anfängliche Panik rund um CVE-2025-11001 entstand durch die NHS-Erstmeldung über bereits laufende Attacken. Einen Tag später ruderte die Behörde zurück und entfernte Formulierungen zu “aktiver Ausnutzung” aus der Warnung.

Trotz dieser Korrektur bleibt die Gefahr akut. Die Verfügbarkeit eines öffentlichen Proof-of-Concept bedeutet: Ransomware-Gruppen und andere Cyberkriminelle können den Exploit mühelos in ihre Werkzeugkästen integrieren.

“Angesichts des existierenden Proof-of-Concept-Exploits müssen 7-Zip-Nutzer unverzüglich die notwendigen Updates installieren”, mahnt ein Sprecher von NHS England Digital. Die Zeitspanne zwischen Veröffentlichung eines PoC und dem Beginn massenhafter automatisierter Angriffe wird typischerweise in Stunden oder Tagen gemessen.

KI entdeckte die Schwachstelle

Die Sicherheitslücke wurde ursprünglich von Ryota Shiga vom japanischen Sicherheitsunternehmen GMO Flatt Security entdeckt – mithilfe eines KI-gestützten Audit-Tools namens “Takumi”. Shiga meldete das Problem Anfang des Jahres an die 7-Zip-Entwickler.

Diese Entdeckung unterstreicht einen wachsenden Trend: KI-gesteuerte Werkzeuge identifizieren komplexe Logikfehler in etablierten Codebasen, die menschliche Prüfer übersehen könnten. Die Schwachstelle wurde formal in 7-Zip Version 25.00 behoben, die im Juli 2025 erschien. Doch die Verbreitung des Patches verläuft schleppend – der Software fehlt eine automatische Update-Funktion.

Sofortmaßnahme erforderlich: Update auf Version 25.01

Sicherheitsexperten fordern alle 7-Zip-Nutzer auf, ihre Versionsnummer zu überprüfen und umgehend zu aktualisieren.

So schützen Sie sich:
* Version prüfen: Öffnen Sie 7-Zip und wählen Sie Hilfe > Über 7-Zip. Zeigt die Software Version 24.09 oder älter an, sind Sie verwundbar.
* Manuelles Update: Laden Sie die neueste Version (25.01) direkt von der offiziellen 7-Zip-Website herunter und installieren Sie diese.
* Unternehmens-Audits: IT-Administratoren sollten ihre Netzwerke nach veralteten 7-Zip-Installationen durchsuchen, insbesondere auf Servern und Arbeitsplätzen mit erhöhten Rechten.

Die aktuelle Version 25.01 behebt neben CVE-2025-11001 auch die verwandte Schwachstelle CVE-2025-11002 sowie eine separate Sicherheitslücke (CVE-2025-55188), die im August entdeckt wurde und das willkürliche Schreiben von Dateien ermöglichte.

Phishing-Welle droht

Die Veröffentlichung von CVE-2025-11001 verdeutlicht die Sicherheitsrisiken von Open-Source-Werkzeugen ohne moderne Wartungsfunktionen wie automatisches Patching. Mit dem nun öffentlichen Exploit-Code rechnen Sicherheitsfirmen mit einer Zunahme von Phishing-Kampagnen, die bösartige ZIP-Dateien als Rechnungen oder Geschäftsdokumente tarnen.

“Die Einstiegshürde für die Ausnutzung dieser Schwachstelle liegt faktisch bei null”, warnt ein Analyst von Trustwave. “Wir erwarten, dass gängige Malware-Loader diese Technik in den kommenden Wochen nutzen werden, um Sicherheitskontrollen zu umgehen und sich dauerhaft auf Opfersystemen einzunisten.”

Nutzer sollten äußerste Vorsicht walten lassen, wenn sie ZIP-Dateien aus unbekannten Quellen herunterladen oder entpacken – selbst nach dem Update der Software. Denn eines ist klar: Die nächste Angriffswelle ist nur eine Frage der Zeit.

PS: Kleine Konfigurationsfehler und fehlende Awareness reichen oft, damit Phisher und Malware‑Loader Erfolg haben. Unser Gratis‑Leitfaden für Unternehmen kombiniert branchenspezifische Anti‑Phishing‑Strategien, Schulungs‑Module für Mitarbeiter, praktische 4‑Schritte‑Checklisten und automatisierte Prüfungen, mit denen Sie typische Angriffswege gezielt schließen. Ideal für IT‑Leiter und Geschäftsführer, die ihre Verteidigung ohne großen Budgetaufwand stärken wollen. Jetzt kostenloses Cyber‑Security‑Leitfaden‑Download sichern