Уязвимост от нулев ден на WinRAR
Разработчиците на популярната програма за архивиране на файлове WinRAR издадоха спешна актуализация на сигурността, за да поправят активно експлоатирана уязвимост от типа „нулев ден“. Проследена като CVE-2025-8088 с CVSS резултат 8.8, уязвимостта представлява грешка в преминаването на пътя във версията на WinRAR за Windows, която позволява на атакуващите да изпълняват произволен код чрез специално създадени архивни файлове.
Корекцията беше включена във версия 7.13 на WinRAR, издадена на 31 юли 2025 г. Уязвимостта засяга не само WinRAR, но и RAR, UnRAR, UnRAR.dll и преносимия изходен код на UnRAR за Windows.
Съдържание
Как работи експлойтът
Проблемът възниква, защото по-ранните версии на WinRAR биха могли да бъдат подведени да извличат файлове, използвайки злонамерен път, посочен в архива, а не предвидения път за извличане. Това поведение може да се използва за поставяне на файлове в чувствителни системни директории, като например папката „Стартиране на Windows“, което води до автоматично изпълнение на код при следващото влизане в системата.
Свързаната с това уязвимост CVE-2025-6218, поправена през юни 2025 г., също е позволила атаки с преминаване през директории. Злонамерените лица биха могли да използват и двете уязвимости заедно, за да манипулират файловите пътища по време на извличане, да записват файлове извън определени папки и да изпълняват злонамерен код, докато показват документ-примамка, за да разсеят жертвата.
Активност на злонамерени лица и връзки към тъмната мрежа
Изследователи по киберсигурност свързват скорошната експлоатация на CVE-2025-8088 с хакерската група Paper Werewolf (известна още като GOFFEE). Тази група може да е сдвоила недостатъка с CVE-2025-6218, за да стартира целенасочени атаки.
Разследванията разкриха, че на 7 юли 2025 г. киберпрестъпник, известен като „zeroplayer“, е рекламирал предполагаем WinRAR zero-day експлойт в рускоезичния форум Exploit.in за 80 000 долара. Подозира се, че Paper Werewolf се е сдобил с този експлойт и го е използвал като оръжие в реални атаки.
Детайли за атакуващата кампания
През юли 2025 г. руски организации бяха атакувани чрез фишинг имейли, съдържащи злонамерени архиви. Когато жертвите отвориха тези файлове, веригата от експлойти използваше и двете уязвимости, за да:
- Записвайте файлове в директории извън предвидения път за извличане.
- Задействане на изпълнение на код без знанието на жертвата.
Забележителен технически детайл е, че нападателите са създавали RAR архиви с алтернативни потоци от данни, чиито имена са съдържали относителни пътища. Тези потоци са носили произволни полезни товари и, когато са били извлечени или отворени директно от архива, са били записвани във всяка избрана директория на диска.
Възможности за полезен товар
Един от идентифицираните злонамерени полезни товари е .NET-базиран зареждащ файл, който:
- Събира системна информация, като например името на компютъра на жертвата.
- Изпраща данните до отдалечен сървър.
- Изтегля допълнителен зловреден софтуер, включително криптиран .NET асембли.
Според съобщенията, Paper Werewolf използва този товарач в комбинация с обратна обвивка над сокети, което позволява директна комуникация с тяхната командно-контролна инфраструктура.
Препоръчително действие
Потребителите на WinRAR трябва незабавно да актуализират до версия 7.13 или по-нова, за да елиминират риска от CVE-2025-8088 и CVE-2025-6218. Всяка организация, особено тези, които бораве с чувствителни данни, трябва да прегледа политиките за сигурност на електронната поща, да деактивира автоматичното изпълнение на файлове от архиви и да следи за подозрително поведение при извличане.
