Rabattilbud med flere licenser
Trusseldatabase Sårbarhed WinRAR Zero-Day Sårbarhed

WinRAR Zero-Day Sårbarhed

Med Mezo i Sårbarhed, Malware
Oversæt til:

Udviklerne bag det populære WinRAR-filarkiveringsværktøj har udsendt en presserende sikkerhedsopdatering for at rette en zero-day-sårbarhed, der aktivt udnyttes i naturen. Fejlen, der er sporet som CVE-2025-8088 med en CVSS-score på 8,8, er en sti-traverseringsfejl i Windows-versionen af WinRAR, der tillader angribere at udføre vilkårlig kode gennem specielt udformede arkivfiler.

Rettelsen blev leveret i WinRAR version 7.13, udgivet den 31. juli 2025. Sårbarheden påvirker ikke kun WinRAR, men også RAR, UnRAR, UnRAR.dll og den bærbare UnRAR-kildekode til Windows.

Sådan fungerer udnyttelsen

Fejlen opstår, fordi tidligere versioner af WinRAR kunne blive narret til at udpakke filer ved hjælp af en ondsindet sti angivet i arkivet i stedet for den tilsigtede udpakningssti. Denne adfærd kan udnyttes til at placere filer i følsomme systemmapper, f.eks. Windows startmappe, hvilket fører til automatisk kodeudførelse ved næste systemlogin.

Den relaterede sårbarhed CVE-2025-6218, der blev opdateret i juni 2025, muliggjorde også angreb på mappetraversering. Trusselaktører kunne bruge begge fejl til at manipulere filstier under udpakning, skrive filer uden for angivne mapper og køre skadelig kode, mens de viste et lokkedokument for at distrahere offeret.

Trusselsaktøraktivitet og Dark Web-links

Cybersikkerhedsforskere har forbundet den nylige udnyttelse af CVE-2025-8088 med hackergruppen Paper Werewolf (også kendt som GOFFEE). Denne gruppe kan have parret fejlen med CVE-2025-6218 for at iværksætte målrettede angreb.

Undersøgelser afslørede, at en cyberkriminel kendt som 'zeroplayer' den 7. juli 2025 annoncerede en påstået WinRAR zero-day-software på det russisksprogede forum Exploit.in for $80.000. Det er mistanke, at Paper Werewolf fik fat i denne udnyttelse og brugte den som våben i angreb i den virkelige verden.

Detaljer om angrebskampagnen

I juli 2025 blev russiske organisationer mål for phishing-e-mails, der indeholdt ondsindede arkiver. Når ofrene åbnede disse filer, udnyttede angrebskæden begge sårbarheder til at:

  • Skriv filer til mapper uden for den tilsigtede udpakningssti.
  • Udløs kodekørsel uden offerets viden.

En bemærkelsesværdig teknisk detalje er, at angriberne oprettede RAR-arkiver med alternative datastrømme, hvis navne indeholdt relative stier. Disse strømme indeholdt vilkårlige nyttelaster, og når de blev udvundet eller åbnet direkte fra arkivet, blev de skrevet til en hvilken som helst valgt mappe på disken.

Nyttelastkapaciteter

En af de identificerede ondsindede nyttelaster er en .NET-baseret loader, der:

  • Indsamler systemoplysninger, såsom offerets computernavn.
  • Sender dataene til en fjernserver.
  • Downloader yderligere malware, herunder en krypteret .NET-assembly.

Paper Werewolf bruger angiveligt denne loader i kombination med en reverse shell over sockets, hvilket muliggør direkte kommunikation med deres kommando- og kontrolinfrastruktur.

Anbefalet handling

Brugere af WinRAR bør straks opdatere til version 7.13 eller nyere for at eliminere risikoen fra CVE-2025-8088 og CVE-2025-6218. Enhver organisation, især dem der håndterer følsomme data, bør gennemgå e-mail-sikkerhedspolitikker, deaktivere automatisk filudførelse fra arkiver og overvåge for mistænkelig udtrækningsadfærd.

Trending

Mest sete

Indlæser...