Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Haavatavus WinRAR-i nullpäeva haavatavus

WinRAR-i nullpäeva haavatavus

Aastaks Mezo aastal Haavatavus, Pahavara
Tõlgi:

Populaarse WinRAR-i failiarhiveerimise utiliidi arendajad on välja andnud kiireloomulise turvavärskenduse, et parandada nullpäeva haavatavust, mida aktiivselt ära kasutatakse. See viga, mis on tuvastatud kui CVE-2025-8088 ja mille CVSS-skoor on 8,8, on WinRAR-i Windowsi versiooni teekonna läbimise viga, mis võimaldab ründajatel spetsiaalselt loodud arhiivifailide kaudu suvalist koodi käivitada.

Parandus saadeti välja WinRAR-i versioonis 7.13, mis avaldati 31. juulil 2025. See haavatavus mõjutab lisaks WinRAR-ile ka RAR-i, UnRAR-i, UnRAR.dll-i ja kaasaskantavat UnRAR-i lähtekoodi Windowsile.

Kuidas ärakasutamine töötab

See viga ilmneb seetõttu, et WinRAR-i varasemaid versioone sai petta failide lahtipakkimisele, kasutades arhiivis määratud pahatahtlikku teed, mitte kavandatud lahtipakkimise teed. Seda käitumist saab ära kasutada failide paigutamiseks tundlikesse süsteemikataloogidesse, näiteks Windowsi käivituskausta, mis viib koodi automaatse käivitamiseni järgmisel süsteemi sisselogimisel.

Seotud haavatavus CVE-2025-6218, mis parandati 2025. aasta juunis, võimaldas samuti kataloogide läbimise rünnakuid. Ohtlikud isikud said mõlemat viga koos kasutada failiteede manipuleerimiseks ekstraktimise ajal, failide kirjutamiseks väljaspool määratud kaustu ja pahatahtliku koodi käivitamiseks, näidates samal ajal peibutusdokumenti ohvri tähelepanu kõrvalejuhtimiseks.

Ohutegelaste tegevus ja tumeveebi lingid

Küberturvalisuse uurijad on seostanud CVE-2025-8088 hiljutise ärakasutamise häkkerigrupiga Paper Werewolf (tuntud ka kui GOFFEE). See rühmitus võis vea siduda CVE-2025-6218-ga, et käivitada sihipäraseid rünnakuid.

Juurdlused näitasid, et 7. juulil 2025 reklaamis küberkurjategija nimega „zeroplayer” venekeelsel foorumil Exploit.in väidetavat WinRAR-i nullpäeva krüptoraha 80 000 dollari eest. Kahtlustatakse, et Paper Werewolf hankis selle ärakasutamise ja kasutas seda reaalsetes rünnakutes relvana.

Rünnakukampaania üksikasjad

2025. aasta juulis sihiti Venemaa organisatsioone pahatahtlikke arhiive sisaldavate andmepüügikirjadega. Kui ohvrid need failid avasid, kasutas ära rünnak mõlemat haavatavust, et:

  • Kirjutage failid kataloogidesse väljaspool kavandatud ekstraktimisteed.
  • Käivitada koodi käivitamine ohvri teadmata.

Märkimisväärne tehniline detail on see, et ründajad lõid RAR-arhiive alternatiivsete andmevoogudega, mille nimed sisaldasid suhtelisi teid. Need vood kandsid suvalisi kasulikke koormusi ja arhiivist otse ekstraheerimisel või avamisel kirjutati need ketta mis tahes valitud kataloogi.

Kasuliku koormuse võimalused

Üks tuvastatud pahatahtlikest koormustest on .NET-põhine laadur, mis:

  • Kogub süsteemiteavet, näiteks ohvri arvuti nime.
  • Saadab andmed kaugserverisse.
  • Laadib alla täiendavat pahavara, sealhulgas krüptitud .NET-i assembleri.

Väidetavalt kasutab Paper Werewolf seda laadurit koos pistikupesade kaudu suunatud tagurpidi kestaga, mis võimaldab otsest suhtlust nende juhtimis- ja juhtimisinfrastruktuuriga.

Soovitatav toiming

WinRAR-i kasutajad peaksid viivitamatult värskendama versioonile 7.13 või uuemale, et välistada CVE-2025-8088 ja CVE-2025-6218 ohud. Iga organisatsioon, eriti need, mis tegelevad tundlike andmetega, peaksid üle vaatama e-posti turvapoliitikad, keelama arhiividest failide automaatse käivitamise ja jälgima kahtlast ekstraktimiskäitumist.

Trendikas

Enim vaadatud

Laadimine...