Ευπάθεια μηδενικής ημέρας του WinRAR
Οι προγραμματιστές πίσω από το δημοφιλές βοηθητικό πρόγραμμα αρχειοθέτησης αρχείων WinRAR εξέδωσαν μια επείγουσα ενημέρωση ασφαλείας για να διορθώσουν μια ευπάθεια zero-day που εκμεταλλεύεται ενεργά. Το ελάττωμα, που παρακολουθείται ως CVE-2025-8088 με βαθμολογία CVSS 8,8, είναι ένα σφάλμα διέλευσης διαδρομής στην έκδοση του WinRAR για Windows που επιτρέπει στους εισβολείς να εκτελούν αυθαίρετο κώδικα μέσω ειδικά κατασκευασμένων αρχείων αρχειοθέτησης.
Η επιδιόρθωση κυκλοφόρησε στην έκδοση 7.13 του WinRAR, η οποία κυκλοφόρησε στις 31 Ιουλίου 2025. Το θέμα ευπάθειας επηρεάζει όχι μόνο το WinRAR, αλλά και τα RAR, UnRAR, UnRAR.dll και τον φορητό πηγαίο κώδικα του UnRAR για Windows.
Πίνακας περιεχομένων
Πώς λειτουργεί η εκμετάλλευση
Το ελάττωμα παρουσιάζεται επειδή οι παλαιότερες εκδόσεις του WinRAR θα μπορούσαν να εξαπατηθούν ώστε να εξαγάγουν αρχεία χρησιμοποιώντας μια κακόβουλη διαδρομή που καθορίζεται μέσα στο αρχείο αντί για την προβλεπόμενη διαδρομή εξαγωγής. Αυτή η συμπεριφορά μπορεί να αξιοποιηθεί για την τοποθέτηση αρχείων σε ευαίσθητους καταλόγους συστήματος, όπως ο φάκελος εκκίνησης των Windows, με αποτέλεσμα την αυτόματη εκτέλεση κώδικα κατά την επόμενη σύνδεση στο σύστημα.
Η σχετική ευπάθεια CVE-2025-6218, η οποία ενημερώθηκε τον Ιούνιο του 2025, επέτρεψε επίσης επιθέσεις διέλευσης καταλόγων. Οι απειλητικοί παράγοντες θα μπορούσαν να χρησιμοποιήσουν και τα δύο ελαττώματα μαζί για να χειραγωγήσουν διαδρομές αρχείων κατά την εξαγωγή, να γράψουν αρχεία εκτός καθορισμένων φακέλων και να εκτελέσουν κακόβουλο κώδικα ενώ παράλληλα εμφάνιζαν ένα έγγραφο-δόλωμα για να αποσπάσουν την προσοχή του θύματος.
Δραστηριότητα Απειλητικών Ενεργών και Σύνδεσμοι στο Σκοτεινό Ιστό
Ερευνητές στον τομέα της κυβερνοασφάλειας έχουν συνδέσει την πρόσφατη εκμετάλλευση του CVE-2025-8088 με την ομάδα χάκερ Paper Werewolf (γνωστή και ως GOFFEE). Αυτή η ομάδα ενδέχεται να έχει συνδυάσει το ελάττωμα με το CVE-2025-6218 για την εξαπέλυση στοχευμένων επιθέσεων.
Οι έρευνες αποκάλυψαν ότι στις 7 Ιουλίου 2025, ένας κυβερνοεγκληματίας γνωστός ως «zeroplayer» διαφήμισε μια υποτιθέμενη zero-day έκδοση του WinRAR στο ρωσόφωνο φόρουμ Exploit.in για 80.000 δολάρια. Υπάρχει η υποψία ότι ο Paper Werewolf απέκτησε αυτό το exploit και το μετέτρεψε σε όπλο σε πραγματικές επιθέσεις.
Λεπτομέρειες καμπάνιας επίθεσης
Τον Ιούλιο του 2025, ρωσικοί οργανισμοί έγιναν στόχος email ηλεκτρονικού "ψαρέματος" (phishing) που περιείχαν κακόβουλα αρχεία. Όταν τα θύματα άνοιξαν αυτά τα αρχεία, η αλυσίδα εκμετάλλευσης αξιοποίησε και τα δύο τρωτά σημεία για να:
- Εγγραφή αρχείων σε καταλόγους εκτός της προβλεπόμενης διαδρομής εξαγωγής.
- Ενεργοποίηση εκτέλεσης κώδικα χωρίς την επίγνωση του θύματος.
Μια αξιοσημείωτη τεχνική λεπτομέρεια είναι ότι οι εισβολείς δημιούργησαν αρχεία RAR με εναλλακτικές ροές δεδομένων, των οποίων τα ονόματα περιείχαν σχετικές διαδρομές. Αυτές οι ροές μετέφεραν αυθαίρετα ωφέλιμα φορτία και, όταν εξάγονταν ή ανοίγονταν απευθείας από το αρχείο, γράφονταν σε οποιονδήποτε επιλεγμένο κατάλογο στον δίσκο.
Δυνατότητες ωφέλιμου φορτίου
Ένα από τα κακόβουλα φορτία που εντοπίστηκαν είναι ένα πρόγραμμα φόρτωσης που βασίζεται σε .NET και το οποίο:
- Συλλέγει πληροφορίες συστήματος, όπως το όνομα υπολογιστή του θύματος.
- Στέλνει τα δεδομένα σε έναν απομακρυσμένο διακομιστή.
- Λήψη πρόσθετου κακόβουλου λογισμικού, συμπεριλαμβανομένης μιας κρυπτογραφημένης συναρμολόγησης .NET.
Σύμφωνα με πληροφορίες, το Paper Werewolf χρησιμοποιεί αυτόν τον φορτωτή σε συνδυασμό με ένα αντίστροφο κέλυφος πάνω από τις υποδοχές, επιτρέποντας την άμεση επικοινωνία με την υποδομή διοίκησης και ελέγχου του.
Συνιστώμενη ενέργεια
Οι χρήστες του WinRAR θα πρέπει να ενημερώσουν αμέσως το WinRAR στην έκδοση 7.13 ή νεότερη για να εξαλείψουν τον κίνδυνο από τα CVE-2025-8088 και CVE-2025-6218. Οποιοσδήποτε οργανισμός, ειδικά όσοι χειρίζονται ευαίσθητα δεδομένα, θα πρέπει να ελέγξουν τις πολιτικές ασφαλείας του ηλεκτρονικού ταχυδρομείου, να απενεργοποιήσουν την αυτόματη εκτέλεση αρχείων από αρχεία και να παρακολουθούν για ύποπτη συμπεριφορά εξαγωγής.
