7-Zip: Kritische Sicherheitslücke wird aktiv ausgenutzt

Millionen Windows-Nutzer sind in Gefahr: Eine schwerwiegende Schwachstelle im beliebten Packprogramm 7-Zip wird derzeit aktiv von Angreifern ausgenutzt. Das britische Gesundheitssystem NHS England Digital warnt vor laufenden Attacken, bei denen Cyberkriminelle über manipulierte Archivdateien die Kontrolle über Computer übernehmen können. Die Lücke trägt die Kennung CVE-2025-11001 – und da 7-Zip keine automatischen Updates bietet, müssen Nutzer selbst handeln.

Die Schwachstelle ermöglicht Angreifern die Ausführung beliebigen Codes durch speziell präparierte Archivdateien. Angesichts der enormen Verbreitung von 7-Zip in privaten Haushalten wie Unternehmensnetzwerken ist das Schadenspotenzial enorm. IT-Administratoren und Privatanwender sollten ihre Systeme umgehend aktualisieren.

Im Kern handelt es sich um eine Directory-Traversal-Schwachstelle in der Verarbeitung symbolischer Links innerhalb von ZIP-Dateien. Ein Angreifer kann ein Archiv so manipulieren, dass beim Entpacken Dateien in beliebige Systemverzeichnisse geschrieben werden – weit außerhalb des vom Nutzer gewählten Zielordners.

Passend zum Thema Cyber-Angriffe: Die aktive Ausnutzung von CVE-2025-11001 zeigt, wie schnell Lücken in weit verbreiteter Software zu großflächigen Infektionen führen können. Unser kostenloses E‑Book richtet sich an IT‑Verantwortliche und Unternehmen und erklärt aktuelle Bedrohungsszenarien, konkrete Sofortmaßnahmen (Patch‑Management, Überwachung ungewöhnlicher Dateioperationen, Anti‑Phishing‑Checks) sowie Prioritäten für Incident Response. Holen Sie sich praxisnahe Checklisten und Empfehlungen für die nächsten 24 Stunden. Jetzt kostenloses Cyber‑Security‑E‑Book herunterladen

Laut einer Analyse der Trend Micro Zero Day Initiative (ZDI) lässt sich die Lücke nutzen, um Code mit den Rechten des Dienstkontos auszuführen. Entdeckt wurde die Schwachstelle vom Sicherheitsforscher Ryota Shiga von GMO Flatt Security. Sie existiert seit Version 21.02 von 7-Zip und betrifft alle nachfolgenden Versionen bis zum gepatchten Release.

Der Angriff erfordert zwar Nutzerinteraktion – doch die Hürde ist niedrig. Es genügt, dass jemand eine verseuchte Archivdatei öffnet, die per E-Mail kam oder aus dem Web heruntergeladen wurde.

Von der stillen Korrektur zur aktiven Bedrohung

Der Zeitverlauf dieser Sicherheitslücke offenbart ein kritisches Problem: die Kluft zwischen verfügbarem Patch und öffentlicher Kenntnis. Entwickler Igor Pavlov behob den Fehler bereits im Juli 2025 in Version 25.00 – ohne großes Aufsehen. Die ZDI veröffentlichte die Details jedoch erst am 7. Oktober 2025.

Diese Woche eskalierte die Situation. NHS England Digital gab am 19. November bekannt: “Aktive Ausnutzung von CVE-2025-11001 wurde in freier Wildbahn beobachtet.” Zwar nennt die Warnung weder die konkreten Angreifer noch das Ausmaß der Attacken. Doch die Bestätigung aktiver Angriffe ist alarmierend. Verschärft wird die Lage durch einen öffentlich verfügbaren Proof-of-Concept-Exploit, der anderen Kriminellen praktisch eine Bauanleitung liefert.

Was Nutzer jetzt sofort tun müssen

Ohne Auto-Update-Funktion liegt die Verantwortung vollständig bei den Anwendern. Sicherheitsexperten drängen zur sofortigen Überprüfung der installierten 7-Zip-Version.

Die wichtigste Schutzmaßnahme: Update auf Version 25.00 oder neuer. Die aktuelle stabile Version 25.01 vom August 2025 schließt sowohl CVE-2025-11001 als auch eine weitere Schwachstelle bei symbolischen Links (CVE-2025-55188). Die aktualisierte Software steht auf der offiziellen 7-Zip-Website zum Download bereit.

Zusätzlich gilt: Archivdateien aus unbekannten oder nicht vertrauenswürdigen Quellen sollten grundsätzlich nicht entpackt werden. Wer eine verdächtige Datei erhält, sollte sie ungeöffnet löschen.

7-Zip im Visier: Ein Muster zeichnet sich ab

Die beliebte Freeware ist nicht zum ersten Mal Ziel von Angriffen. Bereits Anfang des Jahres nutzten russische Cybercrime-Gruppen eine andere gravierende Lücke (CVE-2025-0411) für gezielte Kampagnen gegen ukrainische Einrichtungen. Damals umgingen die Angreifer Windows Mark-of-the-Web, eine Sicherheitsfunktion, die vor aus dem Internet heruntergeladenen Dateien warnt. Über diese Schwachstelle schleusten sie die SmokeLoader-Malware ein.

Warum ausgerechnet 7-Zip? Die Antwort ist simpel: Allgegenwärtige Software bietet die größte Angriffsfläche. Das Programm ist auf Millionen Rechnern weltweit installiert und genießt das Vertrauen der Nutzer. Eine einzige Schwachstelle kann so zum Einfallstor in unzählige Netzwerke werden – ein Jackpot für Spionage- und Cybercrime-Gruppen.

Was kommt als Nächstes?

Mit der Bestätigung aktiver Angriffe und dem verfügbaren Exploit-Code rechnen Sicherheitsforscher mit einer deutlichen Zunahme der Attacken in den kommenden Wochen. Angreifer werden die Schwachstelle voraussichtlich in umfassendere Phishing- und Malware-Kampagnen einbinden.

Unternehmen sollten nicht nur den Patch ausrollen, sondern ihre Systeme auf verdächtige Aktivitäten überwachen – insbesondere auf ungewöhnliche Dateierstellung oder Verzeichniszugriffe außerhalb normaler Pfade.

Der Vorfall führt schmerzhaft vor Augen, welche Risiken Software ohne automatische Updates birgt. Ständige Wachsamkeit und proaktives Patch-Management sind unerlässlich, um Cyber-Bedrohungen einen Schritt voraus zu bleiben. Alle Windows-Nutzer sollten ihre 7-Zip-Version unverzüglich prüfen und aktualisieren.

PS: Wenn Sie Windows‑Software wie 7‑Zip einsetzen, genügt ein einmaliges Update nicht immer. Das kostenlose E‑Book zeigt neben Checklisten für schnelle Patch‑Rollouts auch, wie kleine IT‑Teams mit kosteneffizienten Maßnahmen (Anti‑Phishing‑Trainings, Datei‑Monitoring, Zugangskontrollen und einfache Incident‑Response‑Pläne) das Risiko deutlich reduzieren können. Ideal für IT‑Leiter und Admins, die schnell handeln müssen. Kostenfreies Cyber‑Security‑E‑Book anfordern