Zranitelnost WinRARu typu zero-day
Vývojáři populárního nástroje pro archivaci souborů WinRAR vydali naléhavou bezpečnostní aktualizaci, která opravuje zranitelnost typu zero-day, jež je aktivně zneužívána. Chyba, evidovaná jako CVE-2025-8088 se skóre CVSS 8,8, spočívá v chybě procházení cesty ve verzi WinRAR pro Windows, která útočníkům umožňuje spouštět libovolný kód prostřednictvím speciálně vytvořených archivních souborů.
Oprava byla součástí WinRAR verze 7.13, vydané 31. července 2025. Tato zranitelnost se týká nejen WinRAR, ale také RAR, UnRAR, UnRAR.dll a přenositelného zdrojového kódu UnRAR pro Windows.
Obsah
Jak funguje zneužití
K této chybě dochází, protože starší verze WinRARu mohly být oklamány k extrakci souborů pomocí škodlivé cesty zadané v archivu, nikoli zamýšlené cesty pro extrakci. Toto chování lze zneužít k umístění souborů do citlivých systémových adresářů, jako je například složka Po spuštění systému Windows, což vede k automatickému spuštění kódu při příštím přihlášení do systému.
Související zranitelnost CVE-2025-6218, opravená v červnu 2025, také umožňovala útoky typu directory traversal. Útočníci mohli obě chyby využít společně k manipulaci s cestami k souborům během extrakce, k zápisu souborů mimo určené složky a ke spouštění škodlivého kódu při zobrazování klamného dokumentu, aby odvedli pozornost oběti.
Aktivita aktérů hrozby a odkazy na dark web
Výzkumníci v oblasti kybernetické bezpečnosti spojili nedávné zneužití chyby CVE-2025-8088 s hackerskou skupinou Paper Werewolf (známou také jako GOFFEE). Tato skupina mohla spárovat chybu s chybou CVE-2025-6218 k zahájení cílených útoků.
Vyšetřování odhalilo, že 7. července 2025 kyberzločinec známý jako „zeroplayer“ inzeroval údajný zero-day exploit pro WinRAR na ruskojazyčném fóru Exploit.in za 80 000 dolarů. Existuje podezření, že Paper Werewolf tento exploit získal a využil ho jako zbraň při reálných útocích.
Podrobnosti útočné kampaně
V červenci 2025 se ruské organizace staly terčem phishingových e-mailů obsahujících škodlivé archivy. Když oběti tyto soubory otevřely, řetězec exploitů zneužil obě zranitelnosti k:
- Zapisovat soubory do adresářů mimo zamýšlenou cestu extrakce.
- Spustit spuštění kódu bez vědomí oběti.
Pozoruhodným technickým detailem je, že útočníci vytvořili RAR archivy s alternativními datovými toky, jejichž názvy obsahovaly relativní cesty. Tyto toky nesly libovolné datové zátěže a po extrahování nebo otevření přímo z archivu byly zapsány do libovolného zvoleného adresáře na disku.
Užitečné zatížení
Jedním z identifikovaných škodlivých datových úložných prostorů je zavaděč založený na .NET, který:
- Shromažďuje systémové informace, například název počítače oběti.
- Odešle data na vzdálený server.
- Stahuje další malware, včetně šifrované sestavy .NET.
Paper Werewolf údajně používá tento zavaděč v kombinaci s obráceným shellem přes sockety, což umožňuje přímou komunikaci s jejich velitelskou a řídicí infrastrukturou.
Doporučená akce
Uživatelé WinRARu by měli okamžitě aktualizovat na verzi 7.13 nebo novější, aby se eliminovalo riziko z chyb CVE-2025-8088 a CVE-2025-6218. Každá organizace, zejména ta, která pracuje s citlivými daty, by měla zkontrolovat zásady zabezpečení e-mailů, zakázat automatické spouštění souborů z archivů a sledovat podezřelé chování při extrakci.
