Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Vulnerabilitat Vulnerabilitat de dia zero de WinRAR

Vulnerabilitat de dia zero de WinRAR

El Mezo el Vulnerabilitat, Programari maliciós
Traduir a:

Els desenvolupadors de la popular utilitat d'arxivament de fitxers WinRAR han publicat una actualització de seguretat urgent per solucionar una vulnerabilitat de dia zero que s'explota activament. Registre CVE-2025-8088 amb una puntuació CVSS de 8,8, la falla és un error de travessia de ruta a la versió per a Windows de WinRAR que permet als atacants executar codi arbitrari a través de fitxers d'arxivament especialment dissenyats.

La correcció es va incloure a la versió 7.13 de WinRAR, publicada el 31 de juliol de 2025. La vulnerabilitat no només afecta WinRAR, sinó també RAR, UnRAR, UnRAR.dll i el codi font portable d'UnRAR per a Windows.

Com funciona l’exploit

La falla es produeix perquè les versions anteriors de WinRAR podien ser enganyades per extreure fitxers utilitzant una ruta maliciosa especificada dins de l'arxiu en lloc de la ruta d'extracció prevista. Aquest comportament es pot explotar per col·locar fitxers en directoris de sistema sensibles, com ara la carpeta d'inici de Windows, cosa que provocava l'execució automàtica de codi en el següent inici de sessió del sistema.

La vulnerabilitat relacionada CVE-2025-6218, aplicada al juny de 2025, també permetia atacs de travessia de directoris. Els actors amenaçadors podien utilitzar ambdues fallades juntes per manipular les rutes dels fitxers durant l'extracció, escriure fitxers fora de les carpetes designades i executar codi maliciós mentre mostraven un document esquer per distreure la víctima.

Activitat dels actors amenaçadors i enllaços de la web fosca

Investigadors de ciberseguretat han vinculat la recent explotació de CVE-2025-8088 amb el grup de pirates informàtics Paper Werewolf (també conegut com a GOFFEE). Aquest grup podria haver relacionat la falla amb CVE-2025-6218 per llançar atacs dirigits.

Les investigacions van revelar que el 7 de juliol de 2025, un ciberdelinqüent conegut com a "zeroplayer" va anunciar un presumpte exploit de WinRAR zero-day al fòrum en rus Exploit.in per 80.000 dòlars. Se sospita que Paper Werewolf va obtenir aquest exploit i el va convertir en una arma en atacs del món real.

Detalls de la campanya d’atac

El juliol de 2025, organitzacions russes van ser atacades mitjançant correus electrònics de phishing que contenien arxius maliciosos. Quan les víctimes obrien aquests fitxers, la cadena d'explotació aprofitava ambdues vulnerabilitats per:

  • Escriure fitxers a directoris fora de la ruta d'extracció prevista.
  • Activar l'execució de codi sense que la víctima se n'adoni.

Un detall tècnic destacable és que els atacants van crear arxius RAR amb fluxos de dades alternatius, els noms dels quals contenien rutes relatives. Aquests fluxos portaven càrregues útils arbitràries i, quan s'extreien o s'obrien directament de l'arxiu, s'escrivien a qualsevol directori escollit del disc.

Capacitats de càrrega útil

Una de les càrregues útils malicioses identificades és un carregador basat en .NET que:

  • Recull informació del sistema, com ara el nom de l'ordinador de la víctima.
  • Envia les dades a un servidor remot.
  • Descarrega programari maliciós addicional, inclòs un conjunt .NET xifrat.

Segons sembla, Paper Werewolf utilitza aquest carregador en combinació amb una closca inversa sobre sòcols, permetent la comunicació directa amb la seva infraestructura de comandament i control.

Acció recomanada

Els usuaris de WinRAR haurien d'actualitzar immediatament a la versió 7.13 o posterior per eliminar el risc de CVE-2025-8088 i CVE-2025-6218. Qualsevol organització, especialment les que gestionen dades sensibles, hauria de revisar les polítiques de seguretat del correu electrònic, desactivar l'execució automàtica de fitxers des dels arxius i controlar els comportaments d'extracció sospitosos.

Tendència

Més vist

Carregant...