7-Zip: Kritische Sicherheitslücke wird aktiv ausgenutzt

Wochenlange Unsicherheit hat ein Ende: Die Sicherheitslücke im beliebten Packprogramm 7-Zip wird tatsächlich aktiv angegriffen. Was bedeutet das für die Millionen Nutzer?

Die Cybersecurity-Firma Qualys bestätigte am Donnerstag, was Sicherheitsexperten seit Wochen befürchtet: Angreifer nutzen eine kritische Schwachstelle in 7-Zip aktiv aus, um Computer zu kompromittieren. Die unter CVE-2025-11001 geführte Lücke ermöglicht es Hackern, beliebigen Code auf ungepatchten Systemen auszuführen – oft genügt dafür das simple Entpacken eines manipulierten Archivs. Mit über 60 Millionen Downloads jährlich und weltweiter Verbreitung in Unternehmen dürfte die Zahl verwundbarer Systeme enorm sein.

Vom Verdacht zur Gewissheit

Die Geschichte dieser Sicherheitslücke gleicht einem Krimi mit mehreren Wendungen. Am 18. November warnte der britische Gesundheitsdienst NHS vor aktiver Ausnutzung der Schwachstelle. Nur zwei Tage später ruderte die Behörde zurück und entfernte den Hinweis auf tatsächliche Angriffe – es lägen keine ausreichenden Beweise vor.

Doch die Ruhe war trügerisch. Gestern veröffentlichte Qualys eindeutige Daten: Die Angriffe laufen. “Mit der aktiven Ausnutzung von CVE-2025-11001 ist es zwingend erforderlich, 7-Zip auf Version 25.00 oder neuer zu aktualisieren”, heißt es in der Warnung des Sicherheitsunternehmens. Die Gefahr ist real und unmittelbar.

Passend zum Thema IT-Sicherheit: Viele Unternehmen sind auf gezielte Angriffe über manipulierte Archive nicht vorbereitet. Ein kostenloses E‑Book erklärt, welche konkreten Maßnahmen Sie jetzt sofort umsetzen können — von Application-Allowlisting über E‑Mail-Filter bis zu Update-Strategien für Tools wie 7‑Zip. Speziell für Geschäftsführer und IT‑Verantwortliche mit Checklisten zur schnellen Implementierung. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Was die Sache besonders brisant macht: Ein öffentlich verfügbarer Proof-of-Concept liefert Angreifern quasi eine Bauanleitung für ihre Attacken. Kombiniert mit der weiten Verbreitung von 7-Zip entsteht eine explosive Mischung.

So funktioniert der Angriff

Die technischen Details klingen komplex, das Prinzip ist jedoch erschreckend simpel. Die Schwachstelle missbraucht die Art und Weise, wie 7-Zip mit symbolischen Links umgeht – Verweisen auf andere Dateien oder Verzeichnisse im System.

CVE-2025-11001 und die verwandte Lücke CVE-2025-11002 weisen beide einen CVSS-Schweregrad von 7.0 auf. Die Analyse von ThreatLocker vom 3. Dezember brachte es ans Licht: Manipulierte ZIP-Archive können durch geschickt präparierte Symlinks Daten außerhalb des vorgesehenen Entpack-Ordners schreiben.

Die Angriffskette läuft folgendermaßen ab: Ein Nutzer erhält eine scheinbar harmlose ZIP-Datei per E-Mail. Beim Entpacken hebeln die präparierten Links die Sicherheitsmechanismen aus. Plötzlich können Angreifer kritische Systemdateien überschreiben oder Schadsoftware in Autostart-Ordnern platzieren. Läuft 7-Zip mit erhöhten Rechten – etwa bei automatisierten Backup-Skripten oder IT-Administratoren – übernehmen die Angreifer die volle Kontrolle.

“Die Schwachstelle liegt in der Verarbeitung symbolischer Links in ZIP-Dateien”, erklärt die Zero Day Initiative, die die koordinierte Veröffentlichung begleitete. “Angreifer können darüber Code im Kontext eines Dienstkontos ausführen.”

Entdeckt wurde die Lücke vom Sicherheitsforscher Ryota Shiga von GMO Flatt Security aus Japan – interessanterweise mithilfe eines KI-gestützten Audit-Tools.

Millionen Computer weiterhin ungeschützt

Hier offenbart sich ein grundlegendes Problem der IT-Sicherheit: Die Lücke ist längst gepatcht, doch die wenigsten haben das Update installiert. Entwickler Igor Pavlov veröffentlichte die bereinigte Version 25.00 bereits im Juli 2025 – vor fast fünf Monaten.

Warum sind dann immer noch so viele Systeme verwundbar? “Die manuelle Aktualisierung von Hilfsprogrammen wie 7-Zip wird oft verzögert, selbst wenn das Sicherheitsrisiko hoch ist”, warnt Qualys. Anders als moderne Browser, die sich automatisch aktualisieren, erfordert 7-Zip eine manuelle Installation oder ein Deployment-Skript durch die IT-Abteilung.

Das schafft ein enormes Zeitfenster für Angreifer. Während Unternehmen sich auf das Patchen von Betriebssystemen und großen Plattformen konzentrieren, bleiben kleine Hilfsprogramme oft unter dem Radar. Genau darauf spekulieren Cyberkriminelle.

Was Unternehmen jetzt tun müssen

Die Empfehlungen der Sicherheitsexperten sind eindeutig. An erster Stelle steht das sofortige Update auf Version 25.00 oder neuer. Doch das allein reicht nicht aus.

ThreatLocker empfiehlt einen mehrschichtigen Schutzansatz: Zunächst sollten Unternehmen Application-Allowlisting einsetzen, um die Ausführung unbekannter Programme zu verhindern – besonders aus temporären Ordnern, in denen Archive üblicherweise entpackt werden. Zudem gilt das Prinzip der minimalen Rechte: Weder normale Nutzer noch automatisierte Dienste sollten 7-Zip mit Administratorrechten ausführen, sofern nicht absolut erforderlich.

Auch die E-Mail-Sicherheit rückt in den Fokus. Verschlüsselte ZIP-Dateien oder Archive von unbekannten Absendern sollten geblockt oder zumindest in Quarantäne verschoben werden – sie sind das bevorzugte Vehikel für solche Angriffe.

Ransomware-Gruppen wittern ihre Chance

Sicherheitsforscher erwarten, dass Erpressersoftware-Banden die Lücke schnell in ihre Werkzeugkästen integrieren werden. Die Möglichkeit, durch bloßes Entpacken einer Datei Code auszuführen, passt perfekt in bestehende Phishing-Strategien.

In den kommenden Wochen dürften die Angriffe zunehmen. Typische Szenarien: E-Mails mit vermeintlich “dringenden Rechnungen” oder “Versanddokumenten”, die präparierte ZIP-Archive enthalten. Auch öffentlich zugängliche Server, die hochgeladene Archive automatisch verarbeiten, könnten zum Ziel werden – ganz ohne menschliche Interaktion.

Die Verwirrung durch die zurückgezogene NHS-Warnung zeigt zudem, wie volatil Bedrohungsinformationen sein können. Zwischen der Veröffentlichung eines Proof-of-Concept und bestätigten Angriffen liegen oft nur Tage. Diesmal dauerte es Wochen – doch nun ist der Damm gebrochen.

Für IT-Administratoren lautet die klare Botschaft: 7-Zip ist nicht nur ein praktisches Tool, sondern eine kritische Angriffsfläche, die sofortige Aufmerksamkeit erfordert. Die Zeit zum Handeln ist jetzt.

PS: Sie wollen die Lücke nicht nur schließen, sondern Ihr Unternehmen dauerhaft schützen? Das gratis E‑Book “Cyber Security Awareness Trends” zeigt praxisnahe Schutzmaßnahmen, neue gesetzliche Anforderungen und einfache Kontrollen, mit denen kleine IT‑Abteilungen effektiv Angriffe über Phishing und manipulierte Archive abwehren. Enthält Umsetzungsvorlagen und Priorisierungslisten für sofortiges Handeln. Jetzt kostenlosen Cyber-Security-Guide anfordern