ثغرة يوم الصفر في WinRAR

أصدر مطورو برنامج أرشفة ملفات WinRAR الشهير تحديثًا أمنيًا عاجلًا لإصلاح ثغرة أمنية جديدة تُستغل بنشاط. الثغرة، المُعرفة بالرقم CVE-2025-8088، بدرجة CVSS 8.8، هي خلل في مسار التشفير في إصدار Windows من WinRAR، يسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية عبر ملفات أرشيف مُصممة خصيصًا.

تم تضمين الإصلاح في إصدار WinRAR 7.13، الذي تم إصداره في 31 يوليو 2025. لا تؤثر الثغرة الأمنية على WinRAR فحسب، بل تؤثر أيضًا على RAR وUnRAR وUnRAR.dll ورمز مصدر UnRAR المحمول لنظام التشغيل Windows.

كيف تعمل الثغرة الأمنية

يحدث هذا الخلل لأن الإصدارات السابقة من WinRAR قد تُخدع لاستخراج الملفات باستخدام مسار ضار مُحدد داخل الأرشيف بدلاً من مسار الاستخراج المُراد. يُمكن استغلال هذا السلوك لوضع الملفات في أدلة نظام حساسة، مثل مجلد بدء تشغيل Windows، مما يؤدي إلى تنفيذ التعليمات البرمجية تلقائيًا عند تسجيل الدخول التالي للنظام.

الثغرة الأمنية ذات الصلة CVE-2025-6218، والتي تم تصحيحها في يونيو 2025، أتاحت أيضًا هجمات اختراق المجلدات. ويمكن للجهات الفاعلة في مجال التهديدات استغلال كلا العيبين معًا للتلاعب بمسارات الملفات أثناء الاستخراج، وكتابة ملفات خارج المجلدات المحددة، وتشغيل برمجيات خبيثة مع عرض مستند وهمي لتشتيت انتباه الضحية.

نشاط الجهات الفاعلة في التهديد وروابط الويب المظلم

ربط باحثو الأمن السيبراني الاستغلال الأخير للثغرة CVE-2025-8088 بمجموعة القرصنة Paper Werewolf (المعروفة أيضًا باسم GOFFEE). ربما ربطت هذه المجموعة الثغرة بالثغرة CVE-2025-6218 لشن هجمات مُستهدفة.

كشفت التحقيقات أنه في 7 يوليو/تموز 2025، أعلن مجرم إلكتروني يُعرف باسم "زيرو بلاير" عن ثغرة مزعومة في برنامج WinRAR على منتدى Exploit.in باللغة الروسية مقابل 80 ألف دولار أمريكي. ويُشتبه في أن Paper Werewolf حصل على هذه الثغرة واستغلها في هجمات حقيقية.

تفاصيل حملة الهجوم

في يوليو 2025، استُهدفت منظمات روسية عبر رسائل بريد إلكتروني احتيالية تحتوي على أرشيفات خبيثة. عندما فتح الضحايا هذه الملفات، استغلت سلسلة الاستغلال كلا الثغرتين الأمنيتين لـ:

• اكتب الملفات إلى الدلائل خارج مسار الاستخراج المقصود.
• تنفيذ التعليمات البرمجية دون علم الضحية.

من التفاصيل التقنية الجديرة بالملاحظة أن المهاجمين أنشأوا أرشيفات RAR بتدفقات بيانات بديلة تحتوي أسماؤها على مسارات نسبية. حملت هذه التدفقات حمولات عشوائية، وعند استخراجها أو فتحها مباشرةً من الأرشيف، كُتبت في أي مجلد مُختار على القرص.

قدرات الحمولة

أحد الحمولات الضارة التي تم تحديدها هو محمل قائم على .NET والذي:

• يقوم بجمع معلومات النظام، مثل اسم كمبيوتر الضحية.
• يرسل البيانات إلى خادم بعيد.
• يقوم بتنزيل برامج ضارة إضافية، بما في ذلك تجميع .NET المشفر.

يقال أن Paper Werewolf يستخدم هذا المحمل مع غلاف عكسي فوق المقابس، مما يسمح بالاتصال المباشر بالبنية التحتية للقيادة والتحكم.

الإجراء الموصى به

ينبغي على مستخدمي WinRAR التحديث فورًا إلى الإصدار 7.13 أو أحدث للتخلص من خطر CVE-2025-8088 وCVE-2025-6218. ينبغي على أي مؤسسة، وخاصةً تلك التي تتعامل مع بيانات حساسة، مراجعة سياسات أمان البريد الإلكتروني، وتعطيل التنفيذ التلقائي للملفات من الأرشيفات، ومراقبة أي سلوك استخراج مشبوه.