WinRAR জিরো-ডে দুর্বলতা

জনপ্রিয় WinRAR ফাইল আর্কাইভিং ইউটিলিটির ডেভেলপাররা একটি জরুরি নিরাপত্তা আপডেট জারি করেছে যাতে সক্রিয়ভাবে ব্যবহৃত শূন্য-দিনের দুর্বলতা ঠিক করা যায়। CVE-2025-8088 হিসেবে ট্র্যাক করা হয়েছে এবং CVSS স্কোর 8.8, এই ত্রুটিটি WinRAR-এর উইন্ডোজ সংস্করণের একটি পাথ ট্র্যাভার্সাল বাগ যা আক্রমণকারীদের বিশেষভাবে তৈরি আর্কাইভ ফাইলের মাধ্যমে নির্বিচারে কোড কার্যকর করতে দেয়।

এই সমস্যা সমাধানের জন্য WinRAR সংস্করণ 7.13 ব্যবহার করা হয়েছিল, যা ৩১ জুলাই, ২০২৫ তারিখে প্রকাশিত হয়েছিল। এই দুর্বলতা কেবল WinRAR-কেই নয়, বরং RAR, UnRAR, UnRAR.dll এবং Windows-এর জন্য পোর্টেবল UnRAR সোর্স কোডকেও প্রভাবিত করে।

শোষণ কিভাবে কাজ করে

এই ত্রুটিটি ঘটে কারণ WinRAR-এর পূর্ববর্তী সংস্করণগুলিকে উদ্দেশ্যপ্রণোদিত এক্সট্রাকশন পাথের পরিবর্তে আর্কাইভের ভিতরে নির্দিষ্ট ক্ষতিকারক পাথ ব্যবহার করে ফাইলগুলি এক্সট্রাক্ট করার জন্য প্রতারিত করা যেতে পারে। এই আচরণটি সংবেদনশীল সিস্টেম ডিরেক্টরিগুলিতে ফাইল স্থাপন করার জন্য কাজে লাগানো যেতে পারে, যেমন Windows Startup ফোল্ডার, যার ফলে পরবর্তী সিস্টেম লগইনে স্বয়ংক্রিয় কোড কার্যকর হয়।

২০২৫ সালের জুনে প্যাচ করা সম্পর্কিত দুর্বলতা CVE-2025-6218, ডিরেক্টরি ট্র্যাভার্সাল আক্রমণকেও সক্ষম করেছিল। হুমকিদাতারা উভয় ত্রুটি একসাথে ব্যবহার করে এক্সট্রাকশনের সময় ফাইল পাথগুলি ম্যানিপুলেট করতে পারে, নির্ধারিত ফোল্ডারের বাইরে ফাইল লিখতে পারে এবং ক্ষতিকারক কোড চালানোর সময় একটি প্রতারণামূলক নথি দেখানোর মাধ্যমে ক্ষতিকারক কোড চালাতে পারে যাতে ভুক্তভোগীকে বিভ্রান্ত করা যায়।

হুমকি অভিনেতার কার্যকলাপ এবং ডার্ক ওয়েব লিঙ্ক

সাইবার নিরাপত্তা গবেষকরা CVE-2025-8088 এর সাম্প্রতিক ব্যবহারকে হ্যাকিং গ্রুপ পেপার ওয়্যারউলফ (যাকে GOFFEEও বলা হয়) এর সাথে যুক্ত করেছেন। এই গ্রুপটি লক্ষ্যবস্তু আক্রমণ শুরু করার জন্য CVE-2025-6218 এর সাথে ত্রুটিটি যুক্ত করতে পারে।

তদন্তে জানা গেছে যে ৭ জুলাই, ২০২৫ তারিখে, 'zeroplayer' নামে পরিচিত একজন সাইবার অপরাধী রাশিয়ান ভাষার ফোরাম Exploit.in-এ $৮০,০০০ মূল্যের একটি কথিত WinRAR জিরো-ডে বিজ্ঞাপন দিয়েছিল। সন্দেহ করা হচ্ছে যে Paper Werewolf এই সুবিধাটি পেয়েছে এবং বাস্তব বিশ্বের আক্রমণে এটিকে অস্ত্র হিসেবে ব্যবহার করেছে।

আক্রমণ অভিযানের বিবরণ

২০২৫ সালের জুলাই মাসে, রাশিয়ান সংস্থাগুলিকে ক্ষতিকারক আর্কাইভ সম্বলিত ফিশিং ইমেলের মাধ্যমে লক্ষ্যবস্তু করা হয়েছিল। যখন ভুক্তভোগীরা এই ফাইলগুলি খোলেন, তখন শোষণকারী চেইন উভয় দুর্বলতাকেই কাজে লাগায়:

• নির্ধারিত নিষ্কাশন পথের বাইরে ডিরেক্টরিতে ফাইল লিখুন।
• ভুক্তভোগীর অজান্তেই কোড কার্যকর করা শুরু করুন।

একটি উল্লেখযোগ্য প্রযুক্তিগত বিবরণ হল যে আক্রমণকারীরা বিকল্প ডেটা স্ট্রিম সহ RAR আর্কাইভ তৈরি করত যার নামগুলিতে আপেক্ষিক পাথ ছিল। এই স্ট্রিমগুলি ইচ্ছামত পেলোড বহন করত এবং যখন আর্কাইভ থেকে সরাসরি বের করা বা খোলা হত, তখন ডিস্কের যেকোনো নির্বাচিত ডিরেক্টরিতে লেখা হত।

পেলোড ক্ষমতা

চিহ্নিত ক্ষতিকারক পেলোডগুলির মধ্যে একটি হল একটি .NET-ভিত্তিক লোডার যা:

• সিস্টেমের তথ্য সংগ্রহ করে, যেমন ভুক্তভোগীর কম্পিউটারের নাম।
• একটি দূরবর্তী সার্ভারে তথ্য পাঠায়।
• একটি এনক্রিপ্টেড .NET অ্যাসেম্বলি সহ অতিরিক্ত ম্যালওয়্যার ডাউনলোড করে।

পেপার ওয়্যারউলফ এই লোডারটি সকেটের উপর একটি বিপরীত শেলের সাথে একত্রে ব্যবহার করে বলে জানা গেছে, যা তাদের কমান্ড-এন্ড-কন্ট্রোল অবকাঠামোর সাথে সরাসরি যোগাযোগের সুযোগ করে দেয়।

প্রস্তাবিত পদক্ষেপ

CVE-2025-8088 এবং CVE-2025-6218 থেকে ঝুঁকি দূর করতে WinRAR ব্যবহারকারীদের অবিলম্বে 7.13 বা তার পরবর্তী সংস্করণে আপডেট করা উচিত। যেকোনো প্রতিষ্ঠান, বিশেষ করে যারা সংবেদনশীল ডেটা পরিচালনা করে, তাদের ইমেল সুরক্ষা নীতি পর্যালোচনা করা উচিত, সংরক্ষণাগার থেকে স্বয়ংক্রিয় ফাইল সম্পাদন বন্ধ করা উচিত এবং সন্দেহজনক নিষ্কাশন আচরণ পর্যবেক্ষণ করা উচিত।